Mô tả về mẫu Trojan-Banker.Win32.Banz.cri

Đăng ngày | Thể loại: | Lần tải: 0 | Lần xem: 1 | Page: 5 | FileSize: 0.12 M | File type: PDF
of x

Mô tả về mẫu Trojan-Banker.Win32.Banz.cri. Mô tả về mẫu Trojan-Banker.Win32.Banz.cri .Chúng được xếp vào hàng Trojan-Banker – những chương trình được tạo ra để đánh cắp cá thông tin, dữ liệu cá nhân có liên quan đến các hệ thống ngân hàng trực tuyến, thương mại điện tử, e-payment hoặc thẻ thanh toán. Những dữ liệu được đánh cắp này sau đó sẽ được chuyển tiếp về phía tin tặc đứng đằng sau điều khiển Trojan. Hình thức chuyển tiếp dữ liệu này có thể thông qua email, FTP, website … Những dấu hiệu đầu tiên được Kaspersky phát hiện vào ngày 9/6/2010 lúc 20:29 GMT, và.... Giống các thư viện tài liệu khác được thành viên chia sẽ hoặc do sưu tầm lại và giới thiệu lại cho các bạn với mục đích tham khảo , chúng tôi không thu phí từ thành viên ,nếu phát hiện tài liệu phi phạm bản quyền hoặc vi phạm pháp luật xin thông báo cho website ,Ngoài giáo án bài giảng này, bạn có thể tải bài giảng miễn phí phục vụ nghiên cứu Có tài liệu download sai font không hiển thị đúng, có thể máy tính bạn không hỗ trợ font củ, bạn tải các font .vntime củ về cài sẽ xem được.

https://tailieumienphi.vn/doc/mo-ta-ve-mau-trojan-banker-win32-banz-cri-0ze2tq.html

Nội dung


  1. Mô tả về mẫu Trojan-Banker.Win32.Banz.cri
  2. Chúng được xếp vào hàng Trojan-Banker – những chương trình được tạo ra để đánh cắp cá thông tin, dữ liệu cá nhân có liên quan đến các hệ thống ngân hàng trực tuyến, thương mại điện tử, e-payment hoặc thẻ thanh toán. Những dữ liệu được đánh cắp này sau đó sẽ được chuyển tiếp về phía tin tặc đứng đằng sau điều khiển Trojan. Hình thức chuyển tiếp dữ liệu này có thể thông qua email, FTP, website … Những dấu hiệu đầu tiên được Kaspersky phát hiện vào ngày 9/6/2010 lúc 20:29 GMT, và chúng bắt đầu hoạt động vào ngày hôm sau, 10/6/2010 - 02:20 GMT, những thông tin phân tích chi tiết được chính thức đăng tải vào ngày 16/06/2010 - 12:17 GMT. Phân tích chi tiết về mặt kỹ thuật Về bản chất, chúng được tạo ra để lấy trộm thông tin cá nhân, dữ liệu các tài khoản ngân hàng, hệ thống thanh toán trực tuyến, các hệ thống thương mại điện tử, thẻ thanh toán … bắt nguồn từ những hệ thống ngân hàng của Brazil. Chúng là những file Windows PE với phần đuôi mở rộng EXE, dung lượng khoảng 942047 byte và được viết bằng ngôn ngữ lập trình Delphi.
  3. Nguyên tắc đầu tiên của virus là tự động kích hoạt khởi động cùng hệ thống. Với Trojan-Banker.Win32.Banz.cri cũng không có gì khác, chúng tạo ra khóa Registry sau: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "wscntfx" = "%filepath%" với %filepath% là đường dẫn đầy đủ của file kích hoạt chính. Bên cạnh đó, chúng còn can thiệp vào chỉnh sửa các giá trị của khóa Registry sau: [HKÑU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] " Embedded Web Browser from: http://bsalsa.com/" = "" Xóa các khóa Registry sau: [ HKEY_CLASSES_ROOT\CLSID\{2E3C3651-B19C-4DD9-A979- 901EC3E930AF} ] [ HKEY_CLASSES_ROOT\CLSID\{3F888695-9B41-4B29-9F44- 6B560E464A16} ]
  4. [ HKEY_CLASSES_ROOT\CLSID\{9EC30204-384D-11D3-9CA3- 00A024F0AF03} ] Quá trình Payload Khi được kích hoạt, chúng sẽ tự động tải file cấu hình từ: http://juliana9090v.dominiotemporario.com/configex.txt Và so sánh với tình trạng hiện thời của máy tính nạn nhân, đồng thời thực hiện các thay đổi phù hợp. Sau đó, chúng sẽ kiểm soát tất cả các trình duyệt đang hoạt động. Khi người dùng truy cập vào 1 địa chỉ xác định nào đó, chúng lập tức thu thập tất cả các thông tin người sử dụng khai báo và điền vào các form có sẵn trên website đó. Chúng đặt biệt để ý đến 2 địa chỉ sau: www.bradesco.com.br https://www2.realsecureweb.com.br Bên cạnh đó, chúng còn lưu trữ những dữ liệu, con số có liên quan đến thẻ tín dụng của họ trên các website khác nhau. Và những dữ liệu này được chuyển đến địa chỉ hòm thư của tin tặc hoặc các email chỉ định sẵn trong file cấu hình - được tải về lúc trước.
  5. Chúng sử dụng server SMTP để gửi email: smtp.tutopia.com.br
683998