Misector.B

A Misector.B trójai egyszerű ZIP állományokban képes kiszivárogtatni bizalmas információkat a fertőzött számítógépekről. Elsősorban hitelkártyaszámok bezsebelésére koncentrál.
 

A Misector.B trójairól egyértelműen kijelenthető, hogy adatlopásra specializálódott. Azonban az információk kiszivárogtatását nem úgy végzi, ahogy azt napjaink legtöbb kártékony programja. Azaz nem a billentyűleütéseket naplózza, vagy a webböngészőkben megjelenő weboldalakon megadott adatokat kémleli, hanem közvetlenül a memóriából nyeri ki a számára értékes adatokat.

Az Isidor Biztonsági Központ közleménye rávilágít arra, hogy a Misector.B nem hajt végre különösebben sok módosítást a rendszeren, hiszen azokon mindössze egyetlen állományt hoz létre. Ezt követően a folyamatokat térképezi fel, és azok manipulálásával igyekszik hozzáférni a memóriához, amelynek tartalmát megpróbálja lementeni. Amennyiben ez sikerül számára, akkor előre meghatározott bitminták alapján bizalmas adatok után kezd kutatni. Többek között hitelkártyaszámokat igyekszik kinyerni, amelyeket egy egyszerű ZIP állományban szivárogtat ki. A tömörített fájlt e-mailek valamint a sendspace.com szolgáltatásai (API-jai) révén juttatja el a terjesztőihez.
A Misector.B trójairól egyértelműen kijelenthető, hogy adatlopásra specializálódott. Azonban az információk kiszivárogtatását nem úgy végzi, ahogy azt napjaink legtöbb kártékony programja. Azaz nem a billentyűleütéseket naplózza, vagy a webböngészőkben megjelenő weboldalakon megadott adatokat kémleli, hanem közvetlenül a memóriából nyeri ki a számára értékes adatokat.

A Misector.B nem hajt végre különösebben sok módosítást a rendszeren, hiszen azokon mindössze egyetlen állományt hoz létre. Ezt követően a folyamatokat térképezi fel, és azok manipulálásával igyekszik hozzáférni a memóriához, amelynek tartalmát megpróbálja lementeni. Amennyiben ez sikerül számára, akkor előre meghatározott bitminták alapján bizalmas adatok után kezd kutatni. Többek között hitelkártyaszámokat igyekszik kinyerni, amelyeket egy egyszerű ZIP állományban szivárogtat ki. A tömörített fájlt e-mailek valamint a sendspace.com szolgáltatásai (API-jai) révén juttatja el a terjesztőihez.


Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%windir%/svchost.exe

2. Létrehoz egy szolgáltatást "Distributed Process Handler" néven.

3. Feltérképezi az operációs rendszert, és egy frontend.exe nevű folyamat meglétét ellenőrzi. Amennyiben a folyamat létezik, akkor kiolvassa a memória tartalmát.

4. A memóriában különféle stringeket, kifejezéseket keres. Elsősorban hitelkártyaszámokat próbál felkutatni.

5. Az összegyűjtött információkat egy ZIP állományba tömöríti össze.

6. A tömörített fájlt egy e-mail mellékleteként továbbítja a terjesztői számára. Emellett a sendspace.com szolgáltatását (API-jait) is felhasználja.