[TREND MICRO] Ostrzeżenie przed TSPY_FAREIT.ACU

Post03 lip 2013, 21:10

Trend Micro ostrzega przed szkodnikiem TSPY_FAREIT.ACU działającym na wszystkich platformach Windows. Szkodnik używa szyfrowania i może wyrządzić duże szkody w systemie choć sam na razie nie powoduje wielu zakażeń.

źródłem infekcji mogą być strony internetowe oraz inne szkodniki. Problem tutaj dotyczy opisywanego niedawno na łamach portalu problemu z wykradzeniem certyfikatu Opery. Tak też szkodnik dostaje się do systemu, jako aktualizacja przeglądarki Opera. Po uruchomieniu sam siebie kasuje. Dodaje się do autostartu

Kod: Zaznacz cały

HKEY_CURRENT_USER\Software\WinRAR
HWID = "{GUID}"
HKEY_CURRENT_USER\Software\WinRAR
Client Hash = "{Random Value}"
HKEY_CURRENT_USER\Software\WinRAR
{Random} = "{Random Value}"

Następnie pobiera szkodliwe pliki, które uruchamia.

Następnie próbuje wykraść dane konta z aplikacji zainstalowanych na komputerze

Kod: Zaznacz cały

    3D-FTP
    ALFTP
    AceBIT
    BitKinex
    BlazeFtp
    Bullet Proof FTP
    ClassicFTP
    CoffeeCup
    CoreFTP
    CuteFTP
    Cyberduck
    EasyFTP
    ExpanDrive
    FFFTP
    FTP
    FTP Explorer
    FTPClient
    FTPNow
    FTPRush
    FTPShell
    FTPVoyager
    Far
    Far2
    FileZilla
    FlashFXP
    Fling
    Frigate3
    Ghisler
    LeapFTP
    LeechFTP
    LinasFTP
    NetDrive
    NetSarang
    NovaFTP
    PuTTY
    Robo-FTP
    SeaMonkey
    SecureFX
    SmartFTP
    Staff-FTP
    TurboFTP
    WS_FTP
    WebDrive
    WinFTP
    WinZip

Jest to szczególnie niebezpieczne dla posiadanych stron internetowych, gdyż wykrada dane logowania do serwerów.

Wykrada też poświadczenia mailowe

Kod: Zaznacz cały

    BatMail
    IncrediMail
    Outlook
    Pocomail
    Thunderbird
    Windows Live Mail
    Windows Mail

i na koniec kradnie dane logowania z przeglądarek

Kod: Zaznacz cały

    Chrome
    ChromePlus
    Chromium
    FastStone Browser
    Flock
    Internet Explorer
    K-Meleon
    Mozilla Firefox
    Opera Browser

Wszystkie informacje następnie przesyła poprzez HTTP POST na zdalne serwery.

Post06 lip 2013, 14:07

cosik_ktosik pisze:Trend Micro ostrzega przed szkodnikiem TSPY_FAREIT.ACU działającym na wszystkich platformach Windows. Szkodnik używa szyfrowania i może wyrządzić duże szkody w systemie choć sam na razie nie powoduje wielu zakażeń.

źródłem infekcji mogą być strony internetowe oraz inne szkodniki. Problem tutaj dotyczy opisywanego niedawno na łamach portalu problemu z wykradzeniem certyfikatu Opery. Tak też szkodnik dostaje się do systemu, jako aktualizacja przeglądarki Opera. Po uruchomieniu sam siebie kasuje. Dodaje się do autostartu

Kod: Zaznacz cały
HKEY_CURRENT_USER\Software\WinRAR HWID = "{GUID}" HKEY_CURRENT_USER\Software\WinRAR Client Hash = "{Random Value}" HKEY_CURRENT_USER\Software\WinRAR {Random} = "{Random Value}"

Następnie pobiera szkodliwe pliki, które uruchamia.

Następnie próbuje wykraść dane konta z aplikacji zainstalowanych na komputerze

Kod: Zaznacz cały
3D-FTP ALFTP AceBIT BitKinex BlazeFtp Bullet Proof FTP ClassicFTP CoffeeCup CoreFTP CuteFTP Cyberduck EasyFTP ExpanDrive FFFTP FTP FTP Explorer FTPClient FTPNow FTPRush FTPShell FTPVoyager Far Far2 FileZilla FlashFXP Fling Frigate3 Ghisler LeapFTP LeechFTP LinasFTP NetDrive NetSarang NovaFTP PuTTY Robo-FTP SeaMonkey SecureFX SmartFTP Staff-FTP TurboFTP WS_FTP WebDrive WinFTP WinZip

Jest to szczególnie niebezpieczne dla posiadanych stron internetowych, gdyż wykrada dane logowania do serwerów.

Wykrada też poświadczenia mailowe
Kod: Zaznacz cały
BatMail IncrediMail Outlook Pocomail Thunderbird Windows Live Mail Windows Mail

i na koniec kradnie dane logowania z przeglądarek
Kod: Zaznacz cały
Chrome ChromePlus Chromium FastStone Browser Flock Internet Explorer K-Meleon Mozilla Firefox Opera Browser

Wszystkie informacje następnie przesyła poprzez HTTP POST na zdalne serwery.

Taka wspaniała niegdyś firma, a teraz się głupotami zajmują. Iniekcja równa chociażby infekcją cookies.