Nowy wirus
Pojawił sie nowy wirus - Padodor.w. Kradnie loginy, hasła i numery kart kredytowych. Jest to backdoor stworzony przez rosyjską grupę hakerów HangUp Team. Znany jest także jako TrojanSpy.Win32.Qukart. Szkodnik kradnie z zainfekowanych systemów informacje takie jak: numery kart kredytowych, loginy, hasła itp. Plik backdoora ma rozmiar 51 712 bajtów. Jest zaszyfrowany i polimorficzny. Backdoor został wykryty 25 czerwca 2004.
Po uruchomieniu szkodnik kopiuje się do foldera systemowego Windows z losową nazwą (na końcu nazwy znajduje się liczba 32, przykładowo amackg32.exe). Dodatkowo szkodnik rozpakowuje do systemowego foldera Windows mały plik DLL (jego nazwa jest konstruowana na identycznych zasadach - przykładowo bnldnl32.dll). Plik DLL działa jako element uruchamiający moduł EXE.
Następnie backdoor tworzy kilka kluczy rejestru:
[HKCR\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32]
@ = "%Systemowy folder Windows%\.dll"
"ThreadingModel" = "Apartment"
W rezultacie plik DLL jest ładowany wraz z każdym startem systemu Windows.
Szkodnik tworzy także dodatkowe klucze:
[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Web Event Logger" = "{79FEACFF-FFCE-815E-A900-316290B5B738}"
W celu oznaczenia swojej obecności w zainfekowanym systemie backdoor tworzy unikatowy identyfikator KingKarton_10.
Szkodnik tworzy w folderze systemowym plik surf.dat i zapisuje w nim nazwę komputera i użytkownika.
Kradzież haseł i numerów kart kredytowych
Jeden z wątków backdoora przez cały czas szuka następujących tekstów w oknach przeglądarki Internet Explorer:
.paypal.com
signin.ebay.
.earthlink.
.juno.com
my.juno.com/s/
webmail.juno.com
.yahoo.com
oraz
Sign In
Log In
Po znalezieniu jednego z tych tekstów szkodnik próbuje przechwycić wpisywany przez użytkownika login oraz hasło i zapisuje te dane w pliku DNKK.DLL znajdującym się w folderze systemowym Windows. Następnie backdoor wyświetla fałszywy formularz zachęcający użytkownika do wpisania numeru karty kredytowej, daty utraty jej ważności, kodu CVV2 oraz ATM PIN. Zgromadzone informacje zapisywane są w pliku KK32.DLL znajdującym się w folderze systemowym Windows.
Szkodnik tworzy wątek, który okresowo tworzy lub zmienia następujące klucze rejestru:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\]
"1601" =
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"GlobalUserOffline" =
[HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess]
"BrowseNewProcess" = "yes"
Następnie backdoor tworzy plik HTML, w którym przechowywane są skradzione dane, otwiera go przy użyciu Internet Explorera i za pośrednictwem małego skryptu wysyła na jeden z kilku rosyjskich adresów internetowych
Po wysłaniu informacji szkodnik czeka na odpowiedź serwera i jeżeli ma ona postać ciągu X-okRecv11 plik HTML jest usuwany, a okno przeglądarki zamykane.
Podczas wykonywania powyższych operacji szkodnik tworzy nowy, niewidzialny dla użytkownika pulpit o nazwie blind_user i otwiera w nim okno przeglądarki Internet Explorer.
