Заплаха локатор, малък блог за вируси и уязвимости, страница 2
Специално Trojan-SMS.AndroidOS.Stealer.a не се обади той се разпространява под прикритието на законни приложения и използва стандарта за входящи SMS-Trojan функции.
Вътрешно, зловреден софтуер продължава да криптиран конфигурационен файл, който е JS-скрипт. В зависимост от съдържанието на файла, троянецът веднага след изтеглянето и тичане да направите следното:
- OpenURL - отваряне на уеб страница (URL)
- getLat, getLng - получават координатите на устройство
- setInboxSmsFilter - да SMS блокиране маска
- disableInboxSmsFilter - премахване на SMS блокиране маска
- doPayment - изпратете SMS, като номер и текстови съобщения от конфигурационен файл.
- installApp - инсталирате приложението
- enableDebug - съдържа информация за отстраняване на грешки
- disableDebug - изключите информацията за грешки
- влезте - разрешите записване в Logcat
- минимизиране - минимизиране на прилагане, под прикритието на които троянски разпространява (на фона)
- изход - затваряне на приложението
- startHider - скриване на заявлението
- stopHider - възстановяване на приложение
- enableAOS - включват се крие режим съобщения за потвърждение
- addShortcut - добавите пряк път към Троянската на един от OS настолни компютри
- isAirplaneModeOn - проверете дали Самолетният режим е активиран
- isPackageExists - да проверят дали има система за кандидатстване маска
- SS - изпратете SMS с предварително определен брой и префикс
- SDS - изпратете SMS със закъснение
Агент Computrace - е приложение за Windows, която има две форми: пълни и съкратени. При липса на пълна агент, мини агент ще го заредите от сървър на WAN. Стандартната поведението на агента:
Фаза 1: BIOS модул
В първата фаза веднага след инициализация, основната BIOS изпълнен модули допълнителна ROM, EFI изпълнен приложение. На този етап модул Computrace сканира FAT / FAT32 / NTFS дялове твърди дискове в търсене на снимачната площадка на Windows. След това той създава свое копие Autochk.exe на системата и го пренаписва кода си. Система Autochk.exe спасени под autochk.exe.bak на FAT или Autochk.exe: BAK алтернативно NTFS поток от данни.
Фаза 2: Autochk.exe
Променено Autochk.exe, като се започне по време на зареждане, има пълен достъп до двете локалните файлове, както и в системния регистър на Windows. Това го прави съхраняват безопасно в файл rpcnetp.exe агент на папката system32 и да го регистрира в регистъра на Windows като нова услуга. По-късно, на оригиналния Autochk.exe възстановен от запазен екземпляр.
Фаза 3: rpcnetp.exe
Той е този модул е известен също като мини-агент Computrace агент или мини CDA (Съобщение Driver Agent). Размерът му е относително малък, само около 17Kb.
Мини Агент започва като услуга Windows услуга. Веднага след това, преписи собствените си изпълними EXE файлове по rpcnetp.dll името, а за създаване на подходяща знаме в заглавието на PE (твърденията, че това е правилното DLL файл) и зарежда DLL. След това Rpcnetp.exe стартира процес дете svchost.exe а в спряно състояние и инжектира памет създава своята rpcnetp.dll. С подновяването на svchost.exe на изпълнение създава дъщерен процес iexplore.exe браузър с правата на активния в момента потребител. Iexplore.exe е създадена също в спряно състояние, а също така получава инжекция rpcnetp.dll. Така модифициран браузър автоматично свързани към сървъра за управление за получаване на команди и изтегляне на допълнителни модули. Това води до изтеглянето и инсталирането на пълнометражен агент rpcnet.exe.
Фаза 4: rpcnet.exe
Но това може да се използва като платформа за атаки.
Описаното поведение е много характерно за злонамерен софтуер се превърна в един от причините за внимание към тези модули. Обикновено, законен софтуер не използва такива техники.