Infostealer.Banbot

Izvor: Hrvatska internetska enciklopedija
Inačica 424038 od 8. ožujka 2022. u 10:42 koju je unio WikiSysop (razgovor | doprinosi) (brisanje nepotrebnog teksta)
(razl) ←Starija inačica | vidi trenutačnu inačicu (razl) | Novija inačica→ (razl)
Skoči na:orijentacija, traži

Infostealer.Banbot (Troj/Small-EKE) je trojanski konj otkriven 13. rujna 2007. godine. Zaražava računala koja rade pod operativnim sustavom Microsoft Windows (Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP).

Infostealer.Banbot skida (downloada) datoteke s udaljenih lokacija te krade povjerljive podatke na zaraženom računalu.

Opis

Trojanski konj može doći kao privitak u spamu. E-mail privitak može sadržavati RTF ili DOC datoteku u koju je ugrađena i druga datoteka koja na koju se mora dvaput kliknuti da bi se pokrenula. Ta ugrađena datoteka sadržava Infostealer.Banbot.

Kada se ugrađena datoteka pokrene, ona kreira maliciozne komponente C:\microsoft.dll i C:\microsoft.exe.

Trojanski konj dodaje u Windows Registry vrijednosti HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Win32KerenlStart" = "C:\microsoft.exe"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\"Win32KerenlStart" = "C:\microsoft.exe",HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\"Win32KerenlStart" = "C:\microsoft.exe", HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Win32KerenlStart" = "C:\microsoft.exe", HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"Win32KerenlStart" = "C:\microsoft.exe" i HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices\"Win32KerenlStart" = "C:\microsoft.exe" kako bi se pokretao tijekom sljedećih podizanja sustava.

Također napravi vrijednosti HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8DB1B67A-E3CB-44A8-AFA6-ECE6D1E7D028}\"StubPath" = "C:\microsoft.exe" i HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager\Magnifier\"Application path" = "C:\microsoft.exe"y.

Infostealer.Banbot blokira korisniku pristup Task Manageru mijenjajući registarsku vrijednost HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1". Mijenja i vrijednoti HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager\Magnifier\"Start with Utility Manager" = "1" i HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager\Magnifier\"Start with Windows" = "1

Svoju komponentu microsoft.dll registrira kao Brower Helper Object kreiranjem registarskih podključeva HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1E0ABEA7-7385-4B5E-A23A-6E97BD9F3412} i HKEY_CLASSES_ROOT\CLSID\{1E0ABEA7-7385-4B5E-A23A-6E97BD9F3412}

Infostealer.Banbot pristupa stranici [http://]203.121.68.191/~ftwest/ftwestr[REMOVED] te s nje preuzima datoteku koju sprema kao C:\win32.exe. Nakon toga prati koje stranice korisnik obično posjećuje te potom te podatke stavlja u slučajno izabranu datoteku u %Temp% mapi (folfer). Kasnije informacije šalje u udaljeni poslužitelj.

Izvor