A
Banbra.GMH trójai - hasonlóan az elődeihez - online banki
szolgáltatásokhoz tartozó bizalmas adatokat próbál összegyűjteni. E
tevékenységének keretében főkent felhasználónevek és jelszavak iránt
mutat fokozott érdeklődést. A fertőzött rendszereken néhány fájl
létrehozása után módosítja a regisztrációs adatbázist, és az egyik
komponense révén beépül az Internet Explorerbe. Ezután folyamatosan
monitorozza a böngészőben megjelenő weboldalakat.
Az Isidor Biztonsági Központ jelentése szerint a trójai legújabb variánsa elsősorban brazil bankok
ügyfeleit szemelte ki magának. A billentyűleütések naplózását végző
összetevője ugyanis legtöbbször akkor aktivizálódik, amikor a
felhasználó valamely nagyobb, brazil pénzintézet weboldalát tekinti
meg. A trójai jövőben megjelenő variánsai azonban korántsem biztos,
hogy csak e távoli bankok esetében fognak kockázatot jelenteni.
A
trójai leggyakrabban elektronikus levelekben terjed. A kártékony
programmal fertőzött küldemények mellékletében JPG kiterjesztésű
állományok szerepelnek.
Amikor a Banbra.GMH trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%Windows%\%System%\MSTECS.EXE
%Windows%\%System%\FLASHCPX.DLL
%Windows%\MSTECF.DAT
%Windows%\TRENZI.LOG
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Machine Works, Inc. = %sysdir%\MsTecs.exe
3. Beregisztrál az Internet Explorerhez egy BHO-objektumot.
4, A regisztrációs adatbázisban létrehozza a következő értékeket:
HKEY_CLASSES_ROOT\CLSID\{EA3AF112-1E9A-4B79-8A2D-F6670A6BCA35}\(Default) = flashcpx.MyCN
HKEY_CLASSES_ROOT\CLSID\{EA3AF112-1E9A-4B79-8A2D-F6670A6BCA35}\InprocServer32\(Default) = %sysdir%\flashcpx.dll
HKEY_CLASSES_ROOT\CLSID\{EA3AF112-1E9A-4B79-8A2D-F6670A6BCA35}\InprocServer32\ThreadingModel = Apartment
HKEY_CLASSES_ROOT\CLSID\{EA3AF112-1E9A-4B79-8A2D-F6670A6BCA35}\ProgID\(Default) = flashcpx.MyCN
HKEY_CLASSES_ROOT\CLSID\{EA3AF112-1E9A-4B79-8A2D-F6670A6BCA35}\TypeLib\(Default) = {DD1F03A0-0864-4948-B951-9321A44B87D8}
HKEY_CLASSES_ROOT\CLSID\{EA3AF112-1E9A-4B79-8A2D-F6670A6BCA35}\VERSION\(Default) = 1.0
HKEY_CLASSES_ROOT\flashcpx.MyCN\(Default) = flashcpx.MyCN
HKEY_CLASSES_ROOT\flashcpx.MyCN\Clsid\(Default) = {EA3AF112-1E9A-4B79-8A2D-F6670A6BCA35}
HKEY_CLASSES_ROOT\Interface\{31C5319E-23B5-4467-9644-59A2BD10DF7F}\(Default) = MyCN
HKEY_CLASSES_ROOT\Interface\{31C5319E-23B5-4467-9644-59A2BD10DF7F}\ProxyStubClsid\(Default)
= {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{31C5319E-23B5-4467-9644-59A2BD10DF7F}\ProxyStubClsid32\(Default)
= {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{31C5319E-23B5-4467-9644-59A2BD10DF7F}\TypeLib\(Default) = {DD1F03A0-0864-4948-B951-9321A44B87D8}
HKEY_CLASSES_ROOT\Interface\{31C5319E-23B5-4467-9644-59A2BD10DF7F}\TypeLib\Version = 1.0
HKEY_CLASSES_ROOT\TypeLib\{DD1F03A0-0864-4948-B951-9321A44B87D8}\1.0\(Default) = flashcpx
HKEY_CLASSES_ROOT\TypeLib\{DD1F03A0-0864-4948-B951-9321A44B87D8}\1.0\0\win32\(Default) = %sysdir%\flashcpx.dll
HKEY_CLASSES_ROOT\TypeLib\{DD1F03A0-0864-4948-B951-9321A44B87D8}\1.0\FLAGS\(Default) = 0
HKEY_CLASSES_ROOT\TypeLib\{DD1F03A0-0864-4948-B951-9321A44B87D8}\1.0\HELPDIR\(Default) = %sysdir%
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper
Objects\{EA3AF112-1E9A-4B79-8A2D-F6670A6BCA35}8A2D-F6670A6BCA35}\(Default)
5, Megjelenít egy hibaüzenetet.
6. Egyes banki weboldalak letöltésekor aktiválja a billentyűzetfigyelő komponensét.
7. Bizalmas adatokat gyűjt össze, és tárol el egy fájlban.
8. A bizalmas információkat tartalmazó fájlokat feltölti előre meghatározott szerverekre.
9. Megpróbál elektronikus levelekben tovább terjedni.
A fertőzött levelek tárgya lehet:
Subject: it can be one of the following, among others:
ESSA FESTA FOI O MÁXIMO...
OIII...!! TUDO BEM?
Message: it can be one of the following:
Message 1
Oi...!! tudo bem?
Olha só as fotos que me mandaram.
Lembra dessa festa?
A fertőzött levelek mellékletéhez az alábbi állományok tartozhatnak:
IMAGEM1.JPG
IMAGEM2.JPG
