TrojanDownloader:Win32/Bredolab
Энэ вирус нь таны компьютерт хуурамч antivirus програм маягаар сууж халдлагад өртсөн компьютерийн нууц үгүүдийг дамжуулдаг.
Энэ Trojan програм нь UPS, Western union, Facebook-ийн шилжүүлгийн захиа хэлбэрээр email-ээр зүсээ хувирган (Доорх зургаас харна уу) "Facebook Password reset confirmation", "UPS invoice"," Western Union transfer is available for withdraw" гэх зэрэг гарчигтайгаар ирдэг.
Эсхүл Exploit:Win32/Pdfjsc –оор дамжуулан татагдаж болно. zip-хавсралтыг задалбал 36-40kb хэмжээтэй Excel, Word-н icon-той файлууд байдаг.
Тэрээр ачаалагдах хавтаст сууж нэрээ байнга өөрчилж байх ба хууль ёсны svchost.exe болон explorer.exe зэрэг үйл явцад өөрийгөө нэгтгэх замаар firewall-ыг тойрч гардаг байна. Зарим хувилбар нь 'virtualization -aware' нэртэй байх ба anti-sandbox code агуулж байж болно.
Энэ вирус нь Antivirus програмуудад илрэхдээ:
- Backdoor.Win32.Bredolab.ou(Kaspersky)
- TROJ_BREDOLAB.J(TrendMicro)
- Trojan-Downloader.Win32.Bredolab(Ikarus)
- Trojan-Downloader:W32/Bredolab.ED(F-Secure)
- Trojan.Bredload.gen(Mc Afee)
гэсэн нэртэйгээр баригддаг байна.
Win32/Bredloab –ийн хувилбарууд дараах үйлдлүүдийг хийнэ:
Дараах файлуудыг үүсгэдэг:
- <system folder>\digeste.dll
- <system folder>\digiwet.dll
- <system folder>\mcenspc.dll
- <system folder>\msansspc.dll
- %startup%\asgupd32.exe
- %startup%\dfqupd32.exe
- %startup%\dmaupd32.exe
- %startup%\fmnupd32.exe
- %startup%\ihaupd32.exe
- %startup%\imiupd32.exe
- %startup%\legupd32.exe
- %startup%\ppqupd32.exe
- %startup%\rqjupd32.exe
- %startup%\ikowin32.exe
- %startup%\wbhwin32.exe
- %startup%\hcgwin32.exe
- %startup%\fqosys32.exe
- %startup%\lecsys32.exe
- %startup%\necsys32.exe
- %startup%\rncsys32.exe
- %startup%\ysfsys32.exe
- %startup%\zqosys32.exe
- <system folder>\wbem\grpconv.exe
- %appdata%\wiaserva.log %Temp%\wpv[12 RANDOM NUMBERS].exe
Доорх registry-г өөрчилдөг.
- HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, digeste.dll"
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"=%System%\userinit.exe, %System%\<exe>
- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"RunGrpConv" = "1"
Дараах мутантыг үүсгэдэг:
- _SYSTEM_4D2EF3A_
Доорх жагсаалтад байгаа хаягуудруу холбогдож хортой кодуудыг татаж авна.
- 58.65.235.41
- 78.109.29.116
- 78.109.29.112
- 91.207.61.12
- 213.155.4.82
- dollarpoint .ru
- imoviemax .ru
- mudstrang .ru
- vanni-van .cn
- gssmedia .cn
- www .qoeirq .com
Энэ Trojan таны компьютерт суусан бол доорх хортой кодуудыг татаж таны компьютерт суулгадаг байна:
Win32/Ambler,Win32/Boaxxe,Win32/Busky,Win32/Cbeplay,
Win32/Cutwail, Win32/Daurso,Win32/FakeRean, Win32/
FakeSpypro,Win32/Haxdoor,Win32/Hiloti,Win32/Insnot,
Win32/Koobface, Win32/Momibot,Win32/Oderoor, Win32/
Oficla, Win32/Otlard,Win32/Rlsloup,Win32/Rustock,
Win32/Sinowal,Win32/Tedroo,Win32/Ursnif,Win32/Vundo,
Win32/Waledac,Win32/Wantvi,Win32/Winwebsec,Win32/Wopla,
Win32/Zbot
Хэрхэн арилгах вэ?
- System restore-г түр зуур хаана.
- Antivirus-ны програмыг update хийнэ.
- Компьютераа Restart хийгээд SafeMode-оор орно
- Full system scan хийж халдварласан бүх файлыг илрүүлж, цэвэрлэж/устгана.
- Регистрт нэмэгдсэн аливаа утгыг устгах/өөрчлөх.
Trojandownloader:Win32/Bredolab нь маш хурдан үржиж олширдог тул хэрэглэгчид доорх арга хэмжээ авах нь зүйтэй.
- Эх сурвалж нь үл мэдэгдэх хаягаас ирсэн e-mail-н attachment-г татаж авахгүй байх, e-mail доторхи холбоосыг дарж орохгүй байх.
- Үйлдлийн систем, хэрэглээний програм болон antivirus, анти спай програмын update-г тогтмол хийж байх.
Эх сурвалж
http://www.symantec.com/connect/blogs/bredolab-delivers-more-parcels-and-cash
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32/Bredolab
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Search.aspx?query=Bredolabshowall=False&CBF=False&sortby=date&sortdir=desc
http://blog.trendmicro.com/fake-facebook-password-notification-leads-to-malware/
http://www.sophos.com/security/analyses/viruses-and-spyware/trojbredolabf.html
http://www.bitdefender.com/VIRUS-1000540-en--Trojan.Downloader.Bredolab.AM.html
Харилцах хаяг: info@moncirt.org.mn
Утас: 70113151
Previous:
Microsoft Internet explorer санах ойг эвдлэх цоорхой, сул тал
