Заплаха локатор, малък блог за вируси и уязвимости, страница 2

Специално Trojan-SMS.AndroidOS.Stealer.a не се обади той се разпространява под прикритието на законни приложения и използва стандарта за входящи SMS-Trojan функции.

Вътрешно, зловреден софтуер продължава да криптиран конфигурационен файл, който е JS-скрипт. В зависимост от съдържанието на файла, троянецът веднага след изтеглянето и тичане да направите следното:

  • OpenURL - отваряне на уеб страница (URL)
  • getLat, getLng - получават координатите на устройство
  • setInboxSmsFilter - да SMS блокиране маска
  • disableInboxSmsFilter - премахване на SMS блокиране маска
  • doPayment - изпратете SMS, като номер и текстови съобщения от конфигурационен файл.
  • installApp - инсталирате приложението
  • enableDebug - съдържа информация за отстраняване на грешки
  • disableDebug - изключите информацията за грешки
  • влезте - разрешите записване в Logcat
  • минимизиране - минимизиране на прилагане, под прикритието на които троянски разпространява (на фона)
  • изход - затваряне на приложението
  • startHider - скриване на заявлението
  • stopHider - възстановяване на приложение
  • enableAOS - включват се крие режим съобщения за потвърждение
  • addShortcut - добавите пряк път към Троянската на един от OS настолни компютри
  • isAirplaneModeOn - проверете дали Самолетният режим е активиран
  • isPackageExists - да проверят дали има система за кандидатстване маска
  • SS - изпратете SMS с предварително определен брой и префикс
  • SDS - изпратете SMS със закъснение

Агент Computrace - е приложение за Windows, която има две форми: пълни и съкратени. При липса на пълна агент, мини агент ще го заредите от сървър на WAN. Стандартната поведението на агента:

Фаза 1: BIOS модул

В първата фаза веднага след инициализация, основната BIOS изпълнен модули допълнителна ROM, EFI изпълнен приложение. На този етап модул Computrace сканира FAT / FAT32 / NTFS дялове твърди дискове в търсене на снимачната площадка на Windows. След това той създава свое копие Autochk.exe на системата и го пренаписва кода си. Система Autochk.exe спасени под autochk.exe.bak на FAT или Autochk.exe: BAK алтернативно NTFS поток от данни.

Фаза 2: Autochk.exe

Променено Autochk.exe, като се започне по време на зареждане, има пълен достъп до двете локалните файлове, както и в системния регистър на Windows. Това го прави съхраняват безопасно в файл rpcnetp.exe агент на папката system32 и да го регистрира в регистъра на Windows като нова услуга. По-късно, на оригиналния Autochk.exe възстановен от запазен екземпляр.

Фаза 3: rpcnetp.exe

Той е този модул е ​​известен също като мини-агент Computrace агент или мини CDA (Съобщение Driver Agent). Размерът му е относително малък, само около 17Kb.

Мини Агент започва като услуга Windows услуга. Веднага след това, преписи собствените си изпълними EXE файлове по rpcnetp.dll името, а за създаване на подходяща знаме в заглавието на PE (твърденията, че това е правилното DLL файл) и зарежда DLL. След това Rpcnetp.exe стартира процес дете svchost.exe а в спряно състояние и инжектира памет създава своята rpcnetp.dll. С подновяването на svchost.exe на изпълнение създава дъщерен процес iexplore.exe браузър с правата на активния в момента потребител. Iexplore.exe е създадена също в спряно състояние, а също така получава инжекция rpcnetp.dll. Така модифициран браузър автоматично свързани към сървъра за управление за получаване на команди и изтегляне на допълнителни модули. Това води до изтеглянето и инсталирането на пълнометражен агент rpcnet.exe.

Фаза 4: rpcnet.exe

Но това може да се използва като платформа за атаки.

Описаното поведение е много характерно за злонамерен софтуер се превърна в един от причините за внимание към тези модули. Обикновено, законен софтуер не използва такива техники.