Böngészőket vesz szemügyre a Popureb trójai

A Popureb trójai legújabb, SMA betűjelű variánsa meglehetősen összetett műveleteket végez, és elsősorban a regisztrációs adatbázisban idéz elő jelentősebb változásokat. Bejegyzéseket hoz létre, módosít, illetve töröl. Leginkább megjelenítési beállításokat manipulál, amelyek révén az Internet Explorer, a Windows Intéző és az asztal egyes tulajdonságait módosítja.

Az Isidor Biztonsági Központ közleménye kitér arra, hogy a Popureb.SMA interneten keresztül távoli szerverekhez csatlakozik, amelyekre rendszerinformációkat tölt fel, illetve különböző konfigurációs állományokat tölt le. Ezt követően feltérképezi, hogy a fertőzött számítógépen fut-e valamilyen webböngésző. Amennyiben igen, akkor megfertőzi az ahhoz tartozó folyamatot. A trójai többek között az Internet Explorer, a Firefox, a Chrome valamint a Maxthon böngészőkkel is kompatibilis.

A trójai folyamatosan monitorozza a webes adatforgalmat, és időnként felbukkanó ablakokban különféle reklámokat jelenít meg.

Amikor a Popureb.SMA trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%System Root%/Documents and Settings/All Users/Documents/My Videos/PulgFile.log
%System Root%/PulgFile.log
%System Root%/Documents and Settings/All Users/Documents/My Videos/Desktop.ini
%User Profile%/Application Data/Microsoft/Internet Explorer/Quick Launch/Internet Explorer.IE
%Desktop%/Internet Explorer.IE

2. Felmásolja az alábbi fájlokat a fertőzött rendszerekre:
%System Root%/Documents and Settings/All Users/Documents/My Videos/Van[véletlenszerű karakterek].tmp
%System Root%/Van[véletlenszerű karakterek].tmp

3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson az érintett rendszereken.

4. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKEY_CLASSES_ROOT/.IE/@ = "IE"
HKEY_CLASSES_ROOT/.JE/@ = "JE"
HKEY_CLASSES_ROOT/IE/@ = "[véletlenszerű karakterek]"
HKEY_CLASSES_ROOT/IE/DefaultIcon/@ = "shdoclc.dll,0"
HKEY_CLASSES_ROOT/JE/@ "?i1Ý•1E1" = "[véletlenszerű karakterek]"
HKEY_CLASSES_ROOT/JE/shell/open/command/@ = "C:/Program Files/Internet Explorer/IEXPLORE.EXE "
HKEY_CLASSES_ROOT/IE/shell/open/command/@ = "%Program Files%/Internet Explorer/IEXPLORE.EXE [...]"
HKEY_CLASSES_ROOT/JE/shell/open/command/@ = "%Program Files%/Internet Explorer/IEXPLORE.EXE "
HKEY_CLASSES_ROOT/CLSID/{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}/shell/OpenHomePage/@ = "{characters}"
HKEY_CLASSES_ROOT/CLSID/{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}/shell/OpenHomePage/Command/@ = "%Program Files%/Internet Explorer/IEXPLORE.EXE [...]"
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Default_Page_URL = "[...]"
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons/ClassicStartMenu/{871C5380-42A0-1069-A2EA-08002B30309D}= "2"
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons/ClassicStartMenu/{871C5380-42A0-1069-A2EA-08002B30309D}.default = "1"
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons/NewStartPanel/{871C5380-42A0-1069-A2EA-08002B30309D} = "2"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons/ClassicStartMenu/{871C5380-42A0-1069-A2EA-08002B30309D}= "2"

5. A regisztrációs adatbázisban módosítja a következő értékeket:
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Start Page = "[...]"
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Default_Page_URL = "[...]"
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Hidden= "2"
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/HideFileExt = "1"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons/ClassicStartMenu/{871C5380-42A0-1069-A2EA-08002B30309D}.default = "1"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons/NewStartPanel/{871C5380-42A0-1069-A2EA-08002B30309D}= "2"

6. A regisztrációs adatbázisból eltávolítja az alábbi bejegyzéseket:
HKEY_CLASSES_ROOT/CLSID/{1f4de370-d627-11d1-ba4f-00a0c91eedba}
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{C42EB5A1-0EED-E549-91B0-153485866016}
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{1f4de370-d627-11d1-ba4f-00a0c91eedba}
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{20000000-0000-0000-0000-000000000000}
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{e17d4fc0-5564-11d1-83f2-00a0c90dc850}
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{1f4de370-d627-11d1-ba4f-00a0c91eedba}
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{20000000-0000-0000-0000-000000000000}

7. Egy rootkit összetevő segítségével elrejti a saját folyamatát, illetve a különféle állományait.

8. Előre meghatározott távoli szerverekhez kapcsolódik, amelyekre információkat tölt fel, illetve azokról különböző fájlokat tölt le.

9. Egy konfigurációs állományt tölt le interneten keresztül, amelyet a következők szerint ment le:
%System Root%/Documents and Settings/All Users/Documents/My Videos/PulgConfig.log

10. Egy további állományt ment le az alábbiak szerint:
%Windows%/vc.ini

11. Leellenőrzi, hogy fut-e webböngésző a rendszeren. Amennyiben igen, akkor megfertőzi az ahhoz tartozó folyamatot.

12. Folyamatosan figyelemmel kíséri a HTTP adatforgalmat.

13. Esetenként felbukkanó ablakokban reklámokat jelenít meg.

2011. július 7
A hír megjelenését a Biztonságportál támogatta.