Hjem | Presse | Kontakt da en
Heimdal
Heimdal Security beskytter mod
banker trojan malware.
Nyheder
2014-08-06 07:45:30 | Peter Kruse
2014-04-09 12:11:09 | Peter Kruse
2014-04-08 13:22:27 | Peter Kruse
Presse
2014-08-22 10:06:16 | computerworld.dk
2014-08-13 13:50:14 | computerworld.dk
2014-08-12 13:29:03 | m.business.dk
Pressekontakt

Peter Kruse
Partner & Security Specialist
pkr@csis.dk
PGP Key ID: 0x49006F37

Blog
2007-12-16 00:05:28 |

CSIS har nu analyseret den skadelige kode, som til morges og senere i dag, er blevet leveret igennem en banner leverandør, som bl.a. leverer materiale til eb.dk og andre danske online medier. Den tekniske analyse findes i det følgende. Vi har inkluderet et "standalone" fix som deteker og fjerner den skadelige kode. Se i bunden af denne artikel for link til det gratis værktøj.

Ved kørsel vil den skadelige kode (ved at udnytte sårbarheder i populære browsere) droppe følgende filer til det inficerede system (igennem hovedkomponenten "ntdeIect.com"):

[%windows systemmappen%]kavo.exe
[%windows systemmappen%]kavo0.dll
[%windows systemmappen%]kavo1.dll (Pinch - netbank tyv!) [%windows systemmappen%]wincab.sys [%Temp%]sx.dll

samt en autorun.inf fil med følgende indhold:

[AutoRun]
open=ntdelect.com
;shellopen=Open(&O)
shellopenCommand=ntdeIect.com
shellopenDefault=1
;shellexplore=Manager(&X)
shellexploreCommand=ntdeIect.com

Denne funktion er medtaget fordi den skadelige kode er i stand til at sprede sig via delte netværksresourcer og flytbare drev i et netværk. Autorun funktionen bevirker at koden køres automatisk såfremt windows er indstillet til afspille mediet automatisk når det indsættes.

Fra den inficerede maskine (også de der installeres igennem shares og flytbare medier) ringer denne kode hjem til en C&C server på følgende adresse (mellemrum indlagt af CSIS):

ht tp://60. 169.1.92/pp/aa.rar
ht tp://60. 169.1.92/ pp/aa.exe
ht tp://www.tw 7890.com/ pp/aa.rar
ht tp://www.tw 7890.com/ pp/aa.exe

Herfra henter den diverse ledsager komponenter og opdateringer. Der er tydeligvis tale om en datatyv.

Samme C&C server har tidligere været misbrugt som datatyv af bl.a. adgangskoder og passwords til bl.a. "World of Warcraft". Denne cocktail ser dog ud (med bl.a. Pinch og Hacktool inkluderet i pakken) at have et bredere og mere modbydeligt formål.

Koden modificerer registreringsdatabasen, så den aktiveres efter en genstart af systemet:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
kava = "[%windows system mappen%]kavo.exe"

Desuden ændres:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerAdvances Hidden = "2"

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerAdvances ShowSupperHidden = "0"

Alt imens den injekter komponenten "kavo0.dll" i explorer processen i adresserummet 0x18E0000 - 0x18FE000. Den anvender et rootkit, som ser ud til at stamme fra AVAST antivirus. Denne rutine skal vi undersøge nærmere.

Faktum er at denne komponent er yderst alsidig. En såkaldt cocktail med mange forskellige funktioner.

Find og fjern den skadelige kode!
CSIS har sammen med Norman stillet et gratis removal tool til rådighed som kan hentes fra følgende URL:
http://www.csis.dk/dk/media/norman-eb.exe