[TREND MICRO] Ostrzeżenie przed TSPY_FAREIT.ACU

Informacje o najnowszych zagrożeniach i sposobach leczenia
Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21399
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

[TREND MICRO] Ostrzeżenie przed TSPY_FAREIT.ACU

Post03 lip 2013, 21:10

Trend Micro ostrzega przed szkodnikiem TSPY_FAREIT.ACU działającym na wszystkich platformach Windows. Szkodnik używa szyfrowania i może wyrządzić duże szkody w systemie choć sam na razie nie powoduje wielu zakażeń.

źródłem infekcji mogą być strony internetowe oraz inne szkodniki. Problem tutaj dotyczy opisywanego niedawno na łamach portalu problemu z wykradzeniem certyfikatu Opery. Tak też szkodnik dostaje się do systemu, jako aktualizacja przeglądarki Opera. Po uruchomieniu sam siebie kasuje. Dodaje się do autostartu

Kod: Zaznacz cały

HKEY_CURRENT_USER\Software\WinRAR
HWID = "{GUID}"
HKEY_CURRENT_USER\Software\WinRAR
Client Hash = "{Random Value}"
HKEY_CURRENT_USER\Software\WinRAR
{Random} = "{Random Value}"

Następnie pobiera szkodliwe pliki, które uruchamia.

Następnie próbuje wykraść dane konta z aplikacji zainstalowanych na komputerze

Kod: Zaznacz cały

    3D-FTP
    ALFTP
    AceBIT
    BitKinex
    BlazeFtp
    Bullet Proof FTP
    ClassicFTP
    CoffeeCup
    CoreFTP
    CuteFTP
    Cyberduck
    EasyFTP
    ExpanDrive
    FFFTP
    FTP
    FTP Explorer
    FTPClient
    FTPNow
    FTPRush
    FTPShell
    FTPVoyager
    Far
    Far2
    FileZilla
    FlashFXP
    Fling
    Frigate3
    Ghisler
    LeapFTP
    LeechFTP
    LinasFTP
    NetDrive
    NetSarang
    NovaFTP
    PuTTY
    Robo-FTP
    SeaMonkey
    SecureFX
    SmartFTP
    Staff-FTP
    TurboFTP
    WS_FTP
    WebDrive
    WinFTP
    WinZip

Jest to szczególnie niebezpieczne dla posiadanych stron internetowych, gdyż wykrada dane logowania do serwerów.

Wykrada też poświadczenia mailowe

Kod: Zaznacz cały

    BatMail
    IncrediMail
    Outlook
    Pocomail
    Thunderbird
    Windows Live Mail
    Windows Mail


i na koniec kradnie dane logowania z przeglądarek

Kod: Zaznacz cały

    Chrome
    ChromePlus
    Chromium
    FastStone Browser
    Flock
    Internet Explorer
    K-Meleon
    Mozilla Firefox
    Opera Browser


Wszystkie informacje następnie przesyła poprzez HTTP POST na zdalne serwery.
Hotfix
Pozdrawiam, cosik_ktosik :)

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

[TREND MICRO] Ostrzeżenie przed TSPY_FAREIT.ACU

Post06 lip 2013, 14:07

cosik_ktosik pisze:Trend Micro ostrzega przed szkodnikiem TSPY_FAREIT.ACU działającym na wszystkich platformach Windows. Szkodnik używa szyfrowania i może wyrządzić duże szkody w systemie choć sam na razie nie powoduje wielu zakażeń.

źródłem infekcji mogą być strony internetowe oraz inne szkodniki. Problem tutaj dotyczy opisywanego niedawno na łamach portalu problemu z wykradzeniem certyfikatu Opery. Tak też szkodnik dostaje się do systemu, jako aktualizacja przeglądarki Opera. Po uruchomieniu sam siebie kasuje. Dodaje się do autostartu

Kod: Zaznacz cały

HKEY_CURRENT_USER\Software\WinRAR
HWID = "{GUID}"
HKEY_CURRENT_USER\Software\WinRAR
Client Hash = "{Random Value}"
HKEY_CURRENT_USER\Software\WinRAR
{Random} = "{Random Value}"

Następnie pobiera szkodliwe pliki, które uruchamia.

Następnie próbuje wykraść dane konta z aplikacji zainstalowanych na komputerze

Kod: Zaznacz cały

    3D-FTP
    ALFTP
    AceBIT
    BitKinex
    BlazeFtp
    Bullet Proof FTP
    ClassicFTP
    CoffeeCup
    CoreFTP
    CuteFTP
    Cyberduck
    EasyFTP
    ExpanDrive
    FFFTP
    FTP
    FTP Explorer
    FTPClient
    FTPNow
    FTPRush
    FTPShell
    FTPVoyager
    Far
    Far2
    FileZilla
    FlashFXP
    Fling
    Frigate3
    Ghisler
    LeapFTP
    LeechFTP
    LinasFTP
    NetDrive
    NetSarang
    NovaFTP
    PuTTY
    Robo-FTP
    SeaMonkey
    SecureFX
    SmartFTP
    Staff-FTP
    TurboFTP
    WS_FTP
    WebDrive
    WinFTP
    WinZip

Jest to szczególnie niebezpieczne dla posiadanych stron internetowych, gdyż wykrada dane logowania do serwerów.

Wykrada też poświadczenia mailowe

Kod: Zaznacz cały

    BatMail
    IncrediMail
    Outlook
    Pocomail
    Thunderbird
    Windows Live Mail
    Windows Mail


i na koniec kradnie dane logowania z przeglądarek

Kod: Zaznacz cały

    Chrome
    ChromePlus
    Chromium
    FastStone Browser
    Flock
    Internet Explorer
    K-Meleon
    Mozilla Firefox
    Opera Browser


Wszystkie informacje następnie przesyła poprzez HTTP POST na zdalne serwery.


Taka wspaniała niegdyś firma, a teraz się głupotami zajmują. Iniekcja równa chociażby infekcją cookies.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.



  • Reklama

Wróć do „Zagrożenia i leczenie”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 5 gości