Fenyegetés lokátor, egy kis blog vírusok és sebezhetőségek, 2. oldal

Különleges Trojan-SMS.AndroidOS.Stealer.a nem nevezném terjed leple alatt a törvényes alkalmazások és a szabványos bejövő SMS-Trojan funkciókat.

Belsőleg a malware tartja titkosított konfigurációs fájl, amely egy JS-forgatókönyvet. Attól függően, hogy a fájl tartalmát, a trójai azonnal letöltésével és futtatásával a következőket teheti:

  • openURL - nyissa meg a weblapot (URL)
  • getLat, getLng - megkapja eszközkoordinátákat
  • setInboxSmsFilter - az SMS blokkoló maszkot
  • disableInboxSmsFilter - távolítsa el az SMS-t blokkoló maszkot
  • doPayment - SMS, hogy egy szám és szöveges üzeneteket egy konfigurációs fájl.
  • installApp - Az alkalmazás telepítése
  • enableDebug - tartalmazza a hibakeresési információkat
  • disableDebug - kapcsolja ki a hibakeresési információkat
  • log - naplózás engedélyezéséhez a logcat
  • minimalizálása - minimalizálja az alkalmazás, leple alatt, amely a trójai terjed (a háttérben)
  • exit - az alkalmazás bezárása
  • startHider - elrejti az alkalmazást
  • stopHider - visszaállítási kérelem
  • enableAOS - többek között rejtőzik visszaigazoló üzenetet mód
  • addShortcut - adjunk hozzá egy parancsikont a trójai egyik OS asztali
  • isAirplaneModeOn - ellenőrzi, hogy a repülőgép üzemmód engedélyezve van
  • isPackageExists - ellenőrzi, hogy van egy maszk alkalmazási rendszer
  • b - küldjön egy SMS-egy előre meghatározott számú és az előtag
  • SDS - küldjön SMS-t a késés

Agent Computrace - egy Windows alkalmazás, amely két formája van: a teljes és rövidített. Ennek hiányában a teljes anyagot, mini ügynök fogja betölteni azt a szervert a WAN. A szabványos viselkedését az ügynök:

1. fázis: BIOS modul

Az első fázisban után azonnal indítása, a fő BIOS végrehajtott modulok további ROM, EFI kivitelezett alkalmazás. Ebben a szakaszban a Computrace modul beolvassa a FAT / FAT32 / NTFS partíciót merevlemez keresve a sor Windows. Ezután létrehoz egy másolatot a rendszer Autochk.exe és átírja a kódot. Rendszer Autochk.exe eltárolt autochk.exe.bak FAT vagy Autochk.exe: BAK alternatívaként NTFS adatfolyam.

2. fázis: Autochk.exe

Módosított Autochk.exe, kezdve a rendszer indításakor, teljes körű hozzáférést biztosít mind a helyi fájlokat, valamint a Windows rendszerleíró adatbázisában. Ez teszi biztonságosan tárolja a mappában system32 fájl rpcnetp.exe szert és regisztrálja azt a Windows registry új szolgáltatást. Később, az eredeti Autochk.exe visszaállított egy mentett példányt.

3. fázis: rpcnetp.exe

Ez az a modul is ismert mini-szer Computrace szer vagy mini CDA (Communication Driver Agent). A mérete viszonylag kicsi, mindössze 17Kb.

Mini Agent kezdődik mint szolgáltatás a Windows szolgáltatás. Közvetlenül azután, hogy bemásolja a saját futtatható EXE-fájl neve alatt rpcnetp.dll, míg létrehozó megfelelő zászlót a PE header (az állítások, hogy ez a helyes DLL fájl), és betölti a DLL-t. Rpcnetp.exe majd elindítja a gyermek folyamat svchost.exe egy felfüggesztett állapotban és fecskendez emlékét létre rpcnetp.dll. Az újbóli végrehajtásához svchost.exe létrehoz egy gyermek folyamatot iexplore.exe böngésző a jogokat a jelenleg aktív felhasználó. Iexplore.exe is létrejön egy felfüggesztett állapotban, és is kap egy injekciót rpcnetp.dll. Az így módosított böngésző automatikusan csatlakozik a menedzsment szerver parancsok fogadására és töltse további modulokat. Ez vezet a letöltés és a telepítés teljes hosszúságú szer rpcnet.exe.

4. fázis: rpcnet.exe

De lehet használni, mint a platform támadásokat.

A leírt magatartás nagyon jellemző a rosszindulatú szoftverek vált az egyik oka a figyelmet ezekre a modulokat. Jellemzően jogos szoftver nem használja ezeket a technikákat.