Plataforma:

Windows 2000, XP, Server 2003

 Classificao do risco total:
 infecção relatada:
 Impacto no sistema: :
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Spyware

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral



Ändert Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden.
Versucht, Daten zu entwenden, wie z. B. Benutzernamen und Kennwörter, die beim Anmelden auf Websites von Banken oder anderen Finanzdienstleistern verwendet werden.

  Detalhes técnicos

Data de recebimento das amostras iniciais: 01 janeiro 0001



Übertragungsdetails


Erstellt die folgenden Ordner und legt für diese die Attribute System und Versteckt fest, um zu verhindern, dass die darin befindlichen Komponenten von Benutzern entdeckt und entfernt werden:

  • %System%\lowsec



Autostart-Technik


Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit=%System%\userinit.exe, %System%\sdra64.exe,

             (Hinweis: Der Standarddatenwert des besagten Registrierungseintrags ist %System%\userinit.exe,.)



Einschleusungsroutine


Schleust die folgenden Dateien ein:

  • %System%\lowsec\local.ds - copy of the encrypted downloaded file

  • %System%\lowsec\user.ds - used to save the gathered information



Infektionspunkte


Gelangt auf das System in Form einer Datei, die von den folgenden URLs heruntergeladen wurde:

  • http://{BLOCKED}.{BLOCKED}.226.206/ryan/bot.exe



Datendiebstahl


Beachten Sie, dass der Inhalt der Datei, d. h. die Liste der zu überwachenden Websites, jederzeit geändert werden kann.


Greift auf die folgende Site zu, um die eigene Konfigurationsdatei herunterzuladen:

  • http://{BLOCKED}.{BLOCKED}.226.206/ryan/cfg.bin


Versucht, Daten von den folgenden Banken und/oder anderen Geldinstituten zu entwenden:

  • Ebay

  • IS Bank

  • Microsoft

  • MoneyMail

  • Myspace

  • OSPM

  • Odnoklassniki

  • Santander

  • Vkontakte



Installation


Schleust Kopien von sich selbst in den Windows Systemordner ein und hängt bedeutungslose Codefragmente (so genannten Garbage-Code) an die Datei an, um eine leichte Erkennung zu verhindern. Die eingeschleusten Kopien verwenden die folgenden Dateinamen:

  • sdra64.exe


Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

  • __SYSTEM__64AD0625__


Injiziert sich selbst in die folgenden Prozesse, um speicherresident ausgeführt zu werden:

  • SVCHOST.EXE

  • WINLOGON.EXE



Andere Systemänderungen


Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network
UID={computer name}_{random numbers}



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
EnableFirewall=0



Entwendete Daten


Die entwendeten Informationen werden in der folgenden Datei gespeichert:

  • %System%\lowsec\user.ds


Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

  • http://{BLOCKED}.{BLOCKED}.226.206/ryan/gate.php



Informationen über Varianten


Verfügt über folgende MD5-Hash-Werte:

  • 78d2480e511ffdc6f05fb6a08dc12a00


Verfügt über folgende SHA1-Hash-Werte:

  • b3c5bab5ac3b370cb39b397e29ff053850b327a6

  Solução

Mecanismo de varredura mínima: 8.900


Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2
Im abgesicherten Modus neu starten
[ Saber mais ]


Step 3
Diesen geänderten Registrierungswert wiederherstellen Mit diesem Schritt können Sie eine Änderung rückgängig machen, die die Malware/Grayware/Spyware an einem Registrierungswert vorgenommen hat.

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • From: Userinit = %System%\userinit.exe, %System%\sdra64.exe,
      • To: Userinit = %System%\userinit.exe,

Den Registrierungswert wiederherstellen, den diese Malware/Grayware/Spyware geändert hat:

  1. Öffnen Sie den Registrierungs-Editor. Klicken Sie auf Start > Ausführen, geben Sie REGEDIT ein, und drücken Sie dann die Eingabetaste.
  2. Doppelklicken Sie im linken Fensterbereich auf:
    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Winlogon
  3. Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
    Userinit = %System%\userinit.exe, %System%\sdra64.exe,
  4. Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
    %System%\userinit.exe,
  5. Schließen Sie den Registrierungs-Editor.

Step 4
Diesen Registrierungswert löschen Mit diesem Schritt können Sie den Registrierungswert löschen, den die Malware erstellt hat.

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network
    • UID = {computer name}_{random numbers}
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    • EnableFirewall = 0

Den Registrierungsschlüssel löschen, den diese Malware erstellt hat:

  1. Öffnen Sie den Registrierungs-Editor. Klicken Sie dazu auf Start>Ausführen, geben Sie regedit in das Textfeld ein, und drücken Sie die Eingabetaste.
  2. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Network
  3. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    UID = {computer name}_{random numbers}
  4. Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess>Parameters>FirewallPolicy>StandardProfile
  5. Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
    EnableFirewall = 0
  6. Schließen Sie den Registrierungs-Editor.

Step 5
Diesen Ordner suchen und löschen Mit diesem Schritt können Sie den Ordner suchen und löschen, der von dieser Malware/Grayware/Spyware erstellt wurde. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen.
  • %System%\lowsec

Den Malware-/Grayware-/Spyware-Ordner löschen:

  1. Klicken Sie mit der rechten Maustaste auf Start und dann je nach Windows Version auf Suchen... oder Finden....
  2. Geben Sie in das Feld Name Folgendes ein:
      • %System%\lowsec
  3. Wählen Sie im Listenfeld lt;i>Suchen in die Option Arbeitsplatz, und drücken Sie die Eingabetaste.
  4. Markieren Sie den gefundenen Ordner, und drücken Sie UMSCHALT+ENTF, um ihn endgültig zu löschen.

Step 6
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als TSPY_ZBOT.BRN entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Participe da nossa pesquisa!