A Misector.B trójairól egyértelműen kijelenthető, hogy adatlopásra specializálódott. Azonban az információk kiszivárogtatását nem úgy végzi, ahogy azt napjaink legtöbb kártékony programja. Azaz nem a billentyűleütéseket naplózza, vagy a webböngészőkben megjelenő weboldalakon megadott adatokat kémleli, hanem közvetlenül a memóriából nyeri ki a számára értékes adatokat.
Az Isidor Biztonsági Központ közleménye rávilágít arra, hogy a Misector.B nem hajt végre különösebben sok módosítást a rendszeren, hiszen azokon mindössze egyetlen állományt hoz létre. Ezt követően a folyamatokat térképezi fel, és azok manipulálásával igyekszik hozzáférni a memóriához, amelynek tartalmát megpróbálja lementeni. Amennyiben ez sikerül számára, akkor előre meghatározott bitminták alapján bizalmas adatok után kezd kutatni. Többek között hitelkártyaszámokat igyekszik kinyerni, amelyeket egy egyszerű ZIP állományban szivárogtat ki. A tömörített fájlt e-mailek valamint a sendspace.com szolgáltatásai (API-jai) révén juttatja el a terjesztőihez.
Amikor a Misector.B trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%windir%/svchost.exe
2. Létrehoz egy szolgáltatást "Distributed Process Handler" néven.
3. Feltérképezi az operációs rendszert, és egy frontend.exe nevű folyamat meglétét ellenőrzi. Amennyiben a folyamat létezik, akkor kiolvassa a memória tartalmát.
4. A memóriában különféle stringeket, kifejezéseket keres. Elsősorban hitelkártyaszámokat próbál felkutatni.
5. Az összegyűjtött információkat egy ZIP állományba tömöríti össze.
6. A tömörített fájlt egy e-mail mellékleteként továbbítja a terjesztői számára. Emellett a sendspace.com szolgáltatását (API-jait) is felhasználja.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.