TNUA資通安全
||最新公告||資通安全||微軟資安||檢查防護軟體||資通安全法律案例宣導彙編||
 
[資通安全]竊取使用者於銀行網站資料Trojan.Bankem.B木馬程式

 
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全
上一篇主題 :: 下一篇主題  
發表人 內容
shium
Site Admin


註冊時間: 2006-01-02
文章: 74

發表發表於: 星期六 九月 30, 2006 12:27 pm    文章主題: [資通安全]竊取使用者於銀行網站資料Trojan.Bankem.B木馬程式 引言回覆

病毒型態:
木馬程式
影響平台:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
概述:
病毒Trojan.Bankem.B為一木馬程式,主要竊取使用者於銀行網站中的資料。
說明:
病毒Trojan.Bankem.B為一木馬程式,主要竊取使用者於銀行網站中的資料。
當病毒被執行時,詳細運作過程如下:
1.刪除下列檔案:
%System%\ipv6monl.dll
%System%\msn.exe (Detected as Infostealer)
%System%\hook.dll
註:
%System%預設為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
or C:\Windows\System32 (Windows XP)。
2.產生下列檔案:
%System%\info.txt
%System%\root.pfx
%System%\my.pfx
%System%\spc.pfx
z.htm
d:\c.wvw
d:\zzxx.txt
c:\2
3.於下列登錄機碼(registry subkey):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
新增下列資訊:
"MSN" = ""%System%\msn.exe" /INITSERVICE"
4.於下列登錄機碼(registry subkey):
HKEY_CLASSES_ROOT\CLSID\{73364D99-1240-4dff-B11A-67E448373048}\InprocServer32
新增下列資訊:
"(Default)" = "%System%\ipv6monl.dll"
"ThreadingModel" = "apartment"
"Enable Browser Extensions" = "yes"
5.產生下列登錄機碼(registry subkey)使其成為瀏覽器協助物件(Helper Object):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\browser helper objects\{73364D99-1240-4dff-B11A-67E448373048}
6.於下列登錄機碼(registry subkey):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load
新增下列資訊:
"zzz" = "0x37,0x35,0x34"
"net_insll" = "0x44548544"
"worg" = "47 E8 C8 BF 78 6D 50 41 7A 7E 4B 0E E7 DE EA 83 6F 4E 30 01 FF CA 90 3F 22 18 DE F6 73 24 E0 EF 70 29 F4"
"cmpid" = "E 98 9A 97 54 28 1D 09 79 66 21 4E D1 9E F4 D0 34 11 73 50 D2 81 A7 21 01 45 E5 EE 51 7D C0 84 39 76 B7 FC 28 6D E6 C2 05 D0 A7 01 A3 D9 70 E7 34 23 F2 19 D2 BD 55 E0 71 F2 17 AF 26 CA 35 C3 41 C4 36 BE"
"hky" = "0x4454854E"
(上述之值將依Windows版本不同而相異)
7.修改下列登錄機碼(registry subkey)以修改防火牆設定:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
8.收集下列資訊:
- Computer name
- IP address
- Country name
- Operating System
- Email address, mail server, mail account, password
- Key strokes
9.竊取IE上的自動完成密碼(auto-complete passwords)。
10.連至下列連結通知遠端攻擊者以及下載設定檔:
[http://]www.boothost.biz/cmd[REMOVED]
11.監控IE位址列中是否有下列連結:
[https://]banking.postbank.de/app/kontoumsatz.[REMOVED]
[https://]banking.postbank.de/app/welc[REMOVED]
[https://]banking.postbank.de/app/finanzsta[REMOVED]
banking.postbank.de/app/ueberweisung[REMOVED]
banking.postbank.de/app/finanzstatus.re[REMOVED]
banking.postbank.de/app/legitimati[REMOVED]
banking.postbank.de/app/kontoumsatz.u[REMOVED]
[https://]my.if.com/_mem_bin/formsl[REMOVED]
[https://]olb2.nationet.com
[https://]ibank.barclays.co.uk/*/LoginM[REMOVED]
e-gold.com/acct/acct[REMOVED]
12.收集上述連結中輸入表單(web form)之資訊。
13.經由HTTP或FTP將取得資料送至攻擊者。
解決方案:
1.清除系統復原器 (Windows Me/XP)。
系統復原能夠使系統回復到預設狀態,假如電腦的資料毀損,則可以用來復原資料。若是電腦受到了病毒、蠕蟲或是木馬感染,系統復原也會記錄下。 Windows 預防任何外部程式來修改系統復原,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統復原資料夾中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統復原來回復受感染的檔案。
清除系統復原的方法可以閱讀Windows 的文件或是參考以下網頁:
清除Windows Me系統復原
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239?OpenDocument&src=sec_doc_nam
清除Windows XP系統復原
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039?OpenDocument&src=sec_doc_nam
2.更新防毒軟體的病毒定義檔 (若無防毒軟體請略過此步驟) 。
3.以安全模式或是命令提示列的安全模式重新啟動電腦。
4.使用防毒軟體執行全系統的掃瞄以及刪除所偵測到的檔案。
註:若是使用者電腦沒有安裝防毒軟體可以參考以下幾個線上免費掃毒網站:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
5.刪除病毒產生之登錄項目(registry entry)。
註:強烈建議在修改登錄項目(registry entry)之前,先備份好登錄檔
(registry)。不正確地修改登錄檔(registry)或子機碼(subkey)將造成資料永
久毀壞。關於如何備份登錄檔(registry),可參考下列連結:
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/199762382617?OpenDocument&src=sec_doc_nam
a.點選開始(Start)迳執行(Run)。
b.輸入regedit。
c.點擊ok。
註:如果登錄檔編輯器(registry editor)不能執行,可能原因為病毒修改登錄檔存取限制。可參考下列連結解決:
http://securityresponse.symantec.com/avcenter/venc/data/tool.to.reset.shellopencommand.registry.keys.html )
d.至下列子機碼(subkey):
HKEY_CLASSES_ROOT\CLSID\{73364D99-1240-4dff-B11A-67E448373048}
\InprocServer32
刪除下列資訊:
"(Default)" = "%System%\ipv6monl.dll"
"ThreadingModel" = "apartment"
"Enable Browser Extensions" = "yes"
e.至下列子機碼(subkey):HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load
刪除下列資訊:
"zzz" = "0x37,0x35,0x34"
"net_insll" = "0x44548544"
"worg" = "47 E8 C8 BF 78 6D 50 41 7A 7E 4B 0E E7 DE EA 83 6F 4E 30 01 FF CA 90 3F 22 18 DE F6 73 24 E0 EF 70 29 F4"
"cmpid" = "E 98 9A 97 54 28 1D 09 79 66 21 4E D1 9E F4 D0 34 11 73 50 D2 81 A7 21 01 45 E5 EE 51 7D C0 84 39 76 B7 FC 28 6D E6 C2 05 D0 A7 01 A3 D9 70 E7 34 23 F2 19 D2 BD 55 E0 71 F2 17 AF 26 CA 35 C3 41 C4 36 BE"
"hky" = "0x4454854E"
f.刪除下列子機碼(subkey):HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\browser helper objects\{73364D99-1240-4dff-B11A-67E448373048}
g.離開登錄檔編輯器(registry editor)。
參考資料:
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-091309-5415-99
資料來源:賽門鐵克公司
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
從之前的文章開始顯示:   
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全 所有的時間均為 台灣時間 (GMT + 8 小時)
1頁(共1頁)

 
 

電算中心-網路組