Amenințare Locator, un mic blog despre viruși și vulnerabilități, pagina 2

Special Trojan-SMS.AndroidOS.Stealer.a nu numesc raspandeste sub masca de aplicații legitime, și utilizează standardul pentru funcțiile SMS-Trojan primite.

Pe plan intern, malware-ul păstrează un fișier de configurare criptat, care este un JS-script. În funcție de conținutul fișierului, troian imediat după descărcarea și de funcționare pot face următoarele:

  • openURL - deschide pagina web (URL)
  • getLat, getLng - primi coordonatele de dispozitiv
  • setInboxSmsFilter - set SMS masca de blocare
  • disableInboxSmsFilter - scoate masca de blocare prin SMS
  • doPayment - trimite SMS-uri, luând un număr și mesajele text dintr-un fișier de configurare.
  • installApp - a instala aplicația
  • enableDebug - includ informații de depanare
  • disableDebug - dezactiva informațiile de depanare
  • log - activa înregistrarea în logcat
  • minimiza - minimizarea cererii, sub masca care se raspandeste troian (în fundal)
  • exit - închide aplicația
  • startHider - ascunde aplicația
  • stopHider - restabilirea aplicație
  • enableAOS - includ ascunderea modul de mesaje de confirmare
  • addShortcut - adăugați o comandă rapidă la troian la una dintre sistemul de operare desktop
  • isAirplaneModeOn - verifică dacă este activat modul Avion
  • isPackageExists - verifică dacă există un sistem de aplicare mască
  • eS - trimite un SMS la un număr predeterminat și prefix
  • sds - trimite SMS-uri cu o întârziere

Agent Computrace - este o aplicatie Windows, care are două forme: pline și abreviate. În absența unui agent de plin, mini-agent, aceasta va încărca de pe un server pe WAN. Comportamentul standard al agentului:

Faza 1: modul BIOS

In prima faza, imediat după inițializare, BIOS-ul principal executat module ROM suplimentare, aplicație EFI-executat. În această etapă modulul Computrace scanează partițiile FAT / FAT32 / NTFS hard disk-uri în căutarea setului de Windows. Apoi, el creează o copie a Autochk.exe sistemului și rescrie-l la codul. Autochk.exe Sistem salvat sub autochk.exe.bak pe FAT sau Autochk.exe: BAK, alternativ NTFS fluxul de date.

Faza 2: Autochk.exe

Autochk.exe modificat, începând de la pornirea sistemului, are acces deplin la ambele fișiere locale, precum Windows Registry. Acest lucru face stocate în siguranță în agentul de fișier rpcnetp.exe dosar System32 și înregistrează-l în registrul Windows ca un nou serviciu. Mai târziu, Autochk.exe original, restaurat dintr-o copie salvată.

Faza 3: rpcnetp.exe

Este acest modul este, de asemenea, cunoscut sub numele de mini-agent agent de Computrace sau mini-CDA (Agent Communication Driver). Dimensiunea acesteia este relativ mic, doar aproximativ 17KB.

Mini agent începe ca un serviciu serviciu Windows. Imediat după aceea, copiază propriile sale executabile EXE fișiere sub numele rpcnetp.dll, în timp ce stabilirea de pavilion corespunzător în antetul PE (revendicările că aceasta este fișierul corect DLL) și încarcă DLL. Rpcnetp.exe lansează apoi un proces svchost.exe copil într-o stare suspendată și injecteaza de memorie a creat rpcnetp.dll lui. Odată cu reluarea svchost.exe de execuție creează un browser iexplore.exe proces de copil cu drepturile utilizatorului activ în prezent. Iexplore.exe este, de asemenea, creat într-o stare suspendată, și primește, de asemenea, o rpcnetp.dll injecție. Astfel, browser-ul modificat automat conectat la serverul de management pentru recepționarea comenzilor și de a descărca module suplimentare. Acest lucru duce la descărcarea și instalarea de lungime completă de agent rpcnet.exe.

Faza 4: rpcnet.exe

Dar poate fi folosit ca o platformă pentru atacuri.

Comportamentul descris este foarte tipic de software rău intenționat a devenit una dintre cauzele de atenție la aceste module. De obicei, software-ul legitim nu utilizează astfel de tehnici.