Java sebezhetőségeket használ ki a Banker trójai

A Banker.I trójai különböző Java sérülékenységeket használ ki annak érdekében, hogy banki weboldalakat tudjon átirányítani, és azokról bizalmas információkat legyen képes összegyűjteni.

A Banker.I trójai sok módosítást végez az általa megfertőzött számítógépeken. Ezek közül a legfontosabb, hogy a DNS-beállítások manipulálásával valamint a Windows hosts állományának módosításával eléri, hogy egyes weboldalak esetében adathalász célokat szolgáló, hamis weblapok töltődjenek le. Emellett különféle Java sebezhetőségeket is igyekszik kihasználni a bizalmas adatok gyűjtése érdekében.

Az Isidor Biztonsági Központ közleményéből kiderült, hogy a Banker.I képes arra, hogy az Internet Explorer valamint a Firefox böngészők esetében új SSL-tanúsítványokat hozzon létre. Ezáltal eléri, hogy a meghamisított weboldalak HTTPS kapcsolaton keresztül is letöltődhessenek, és első ránézésre megbízhatónak látszódjanak.

A Banker.I számos fájlt töröl a rendszerekről, és a regisztrációs adatbázist is manipulálja.

Amikor a Banker.I trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%Temp%/aaa.bat
%Temp%/drivers/plusdriver.sys
%Temp%/drivers/plusdriver64.sys

2. A Windows alapértelmezett Temp könyvtárába bemásolja az alábbi fájlokat:
It also creates the following files:
%Temp%/bcdedit.exe
%Temp%/add.reg
%Temp%/cert_override.txt

3. Leellenőrzi az operációs rendszert, amelyről információkat tölt fel egy távoli szerverre.

4. Interneten keresztül letölt egy fájlt, és azt az alábbiak szerint menti le:
%Temp%/hs_err_pid_0x00001

5. Windows Vista és Windows 7 operációs rendszerek esetében elindítja a bcdedit.exe fájlt, valamint módosítja a regisztrációs adatbázis következő bejegyzéseit:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SystemCertificates/AuthRoot/Certificates/26ED6B892DA143F2A6B9E036C5CDDF85CBC0765D
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SystemCertificates/AuthRoot/Certificates/82BBA26B4E65F5ECA46D1A8A96680EAC6CC558DF
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SystemCertificates/AuthRoot/Certificates/A3619459A05A7696ABF500F1E596C2B10278BB00
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SystemCertificates/AuthRoot/Certificates/2449D76A4EEB649EFA77358A44D614324C160173
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SystemCertificates/AuthRoot/Certificates/6F5D9C2F1EF3EC72A6958E69C19FF80E54AB00FC

Ezzel manipulálja az Internet Explorer által kezelt SSL-tanúsítványokat.

6. Amennyiben a fertőzött számítógépen talál telepített Firefox böngészőt, akkor annak esetében új SSL-tanúsítványokat hoz létre különböző weboldalakhoz.

7. Minden hálózati interfészhez új DNS bejegyzéseket ad hozzá.

8. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/"Sistema Operacional" = "cmd.exe /c %tmp%/aaa.bat"

9. Létrehoz egy driverusbplus nevű Windows-os szolgáltatást. Amennyiben 64 bites Windows alatt fut, akkor egy driverusbplus64 nevű szolgáltatást ad hozzá az operációs rendszerhez.

10. Módosítja a Windows hosts állományát.

11. Letörli a következő fájlokat, amennyiben azok léteznek:
%meghajtó betűjele%/Arquivos de programas/Gbplugin/gbiehAbn.dll
%meghajtó betűjele%/Program Files/Gbplugin/gbiehAbn.dll
%meghajtó betűjele%/Program Files (x86)/Gbplugin/gbiehAbn.dll
%meghajtó betűjele%/Arquivos de programas/GbPlugin/abn.gpc
%meghajtó betűjele%/Program Files/GbPlugin/abn.gpc
%meghajtó betűjele%/Program Files (x86)/GbPlugin/abn.gpc
%meghajtó betűjele%/windows/Downloaded Program Files/ABN.inf
%meghajtó betűjele%/windows/Downloaded Program Files/ABN.gpc
%meghajtó betűjele%/windows/Downloaded Program Files/gbiehabn.dll
%meghajtó betűjele%/windows/Downloaded Program Files/GbpluginABN.inf
%meghajtó betűjele%/windows/Downloaded Program Files/gbpdist.dll
%meghajtó betűjele%/windows/Downloaded Program Files/gbiehAbn.dll
%meghajtó betűjele%/windows/system32/drivers/gbpkm.sys
%meghajtó betűjele%/Arquivos de programas/Gbplugin/gbieh.gmd
%meghajtó betűjele%/Program Files/Gbplugin/gbieh.gmd
%meghajtó betűjele%/Program Files (x86)/Gbplugin/gbieh.gmd
%meghajtó betűjele%/Arquivos de programas/Gbplugin/bb.gpc
%meghajtó betűjele%/Program Files/Gbplugin/bb.gpc
%meghajtó betűjele%/Program Files (x86)/Gbplugin/bb.gpc
%meghajtó betűjele%/Arquivos de programas/Gbplugin/gbieh.dll
%meghajtó betűjele%/windows/Downloaded Program Files/gbieh.gmd
%meghajtó betűjele%/Program Files/GbPlugin/gbieh.dll
%meghajtó betűjele%/Program Files (x86)/GbPlugin/gbieh.dll
%meghajtó betűjele%/Arquivos de programas/GbPlugin/GbpSv.exe
%meghajtó betűjele%/Program Files/GbPlugin/GbpSv.exe
%meghajtó betűjele%/Program Files (x86)/GbPlugin/GbpSv.exe
%meghajtó betűjele%/Arquivos de programas/GbPlugin/gbpdist.dll
%meghajtó betűjele%/Program Files/GbPlugin/gbpdist.dll
%meghajtó betűjele%/Program Files (x86)/GbPlugin/gbpdist.dll

12. A regisztrációs adatbázisból eltávolítja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/GbpKm
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/GbpKmg
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/ GbpluginBb

A hír megjelenését a Biztonságportál támogatta.