| Name: | BZub |
| Alias-Namen: | |
| Typ: | Trojaner |
| Plattformen: | |
| Verbreitung: | |
| Schadfunktion: | Löscht / zerstört Dateien, Manipuliert Registry, Stiehlt vertrauliche Infos |
| Entfernen: | |
| Variante: | BZub.BS (Alias: Spy-Agent.ba, TSPY_BANKER.FAP, Paybill.A) |
| Variante: | BZub.BL (Alias: Cimuz-Gen, BZub.NAE, Bzub-33) |
| Variante: | BZub.DN (Alias: BZub.DO) |
| Variante: | BZub.DO (Alias: BZub.DN) |
BZub ist eine Familie von trojanischer Spyware. Diese Trojaner kompromittieren die Systemsicherheit, indem sie Authentifikationsinformationen (Benutzernamen, Passwörter, Kreditkartennummern, etc.) ausspähen und weiterleiten
Die BZub-Trojaner werden per Spam - E-Mails an eine große Anzahl von Empfängern verschickt. Zuletzt wurde dabei der Attachment-Name "rechnung.exe" benutzt.
Alias: Spy-Agent.ba, TSPY_BANKER.FAP, Paybill.A
Erstes Auftreten: August 2006
Länge: 80600
BZub.BS wurde das erste Mal am 14. August 2006 gefunden. Er stiehlt Benutzerinformationen für das Online-Banking sowie E-Mail - Adressen und Passwörter, die auf dem Rechner gespeichert sind.
BZub.BS wurde per Spam - E-Mails verschickt. Diese Malware besteht aus zwei Komponenten:
Rakningen.exe Ipv6mons.dll
Dabei ist Rakningen.exe die Installer-Datei, die per Mail verschickt wurde, die Datei Ipv6mons.dll enthält maliziöse Funktionen und wird in den Internet Explorer injiziert.
Wird "Rakningen.exe" aufgerufen, erzeugt er die Datei Ipv6mons.dll im Windows-Systemverzeichnis und trägt mehrere kodierte oder zufällige Schlüssel in die Registry an folgender Stelle ein:
[SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load] cmpid forwas h net_insll nw worg wspopp
Zudem registriert er sich selbst als Browser Helper Object (BHO):
[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
@ = "{systemdir}\ipv6mons.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\\InprocServer32]
@ = "{systemdir}\ipv6mons.dll"
Auch registriert er seinen Internet Explorer als autorisierte Anwendung um zu verhindern, dass die Windows Firewall seine Netzwerk-Transaktionen unterbindet:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
" {Program Files}\Internet Explorer\IEXPLORE.EXE" = " {Program Files} \Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer"
BZub.BS kopiert die Datei
C:\lofg.xxx
nach
C:\ewerufeassur8fr
Er löscht die folgenden Dateien
C:\clearsdingdrfive C:\test.txt
BZub.BS verbindet sich mit der folgenden FTP-Seite:
boothost.biz/cmd2.php
und erstellt eine Datei
info.txt
in der er Informationen über das infizierte System sammelt:
Er stiehlt Informationen über folgende überwachte Webseiten/Formulare und fragt einige Registrierungen ab:
Er stiehlt Logon-Details zu Banken, deren Adressen folgende Zeichenketten enthalten:
app/ueberweisung.input.do app/ueberweisung.prep.do banking.postbank.de banking.postbank.de/app/finanzstatus.reduziert.init.do banking.postbank.de/app/kontoumsatz.umsatz.init.do banking.postbank.de/app/legitimation.input.do banking.postbank.de/app/ueberweisung.quittung.do e-gold.com/acct/acct.asp https://*.netbank.commbank.com.au/netbank/bankmain https://banking.postbank.de/app/finanzstatus.init.do https://banking.postbank.de/app/kontoumsatz.umsatz.init.do https://banking.postbank.de/app/welcome.do https://signin.ebay*/ws/eBayISAPI.dll postbank.de
BZub.BS verschickt die gesammelten Informationen per FTP in einer dieser Dateien:
form.txt info.txt shot.txt
Alias: Cimuz-Gen, BZub.NAE, Bzub-33
Erstes Auftreten: August 2006
Länge: 71896
BZub.BL wurde das erste Mal am 22. August 2006 gefunden. Diese Variante wird von Small.DOG von dieser Seite heruntergeladen:
http://apte-hamburg.de/Deutsch/Aktuell/[ENTFERNT].exe
Wird die Datei des Trojaners aufgerufen, erzeugt er folgende Datei im Windows System-Verzeichnis:
Ipv6mons.dll
Er trägt verschiedene verschlüsselte oder zufällige Werte unter diesem Schlüssel in die Registry ein:
[SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load] cmpid forwas h net_insll nw worg wspopp
Dadurch wird erreicht, dass die Datei bei jedem Rechnerstart wieder aktiv wird.
Er registriert sich auch selbst als Browser Helper Object (BHO):
[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
@ = "{systemdir}\ipv6mons.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\\InprocServer32]
@ = "{systemdir}\ipv6mons.dll"
Mit diesem Registry-Eintrag verhindert er, dass sein Internet Explorer von der Windows-Firewall geblockt wird:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"{Program Files}\Internet Explorer\IEXPLORE.EXE" = "{Program Files}
\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer"
BZub.BL kopiert eine Datei
C:\lofg.xxx
zu
C:\ewerufeassur8fr
und löscht folgende Dateien:
C:\clearsdingdrfive C:\test.txt
Er erstellt eine Datei
info.txt
die folgende Systeminformationen enthält:
Er stiehlt Informationen über folgende überwachte Webseiten/Formulare und fragt einige Registrierungen ab:
Er stiehlt Logon-Details zu Banken, deren Adressen folgende Zeichenketten enthalten:
app/ueberweisung.input.do app/ueberweisung.prep.do banking.postbank.de banking.postbank.de/app/finanzstatus.reduziert.init.do banking.postbank.de/app/kontoumsatz.umsatz.init.do banking.postbank.de/app/legitimation.input.do banking.postbank.de/app/ueberweisung.quittung.do e-gold.com/acct/acct.asp https://*.netbank.commbank.com.au/netbank/bankmain https://banking.postbank.de/app/finanzstatus.init.do https://banking.postbank.de/app/kontoumsatz.umsatz.init.do https://banking.postbank.de/app/welcome.do https://signin.ebay*/ws/eBayISAPI.dll postbank.de
BZub.BL verschickt die gesammelten Informationen per FTP in einer dieser Dateien:
form.txt info.txt shot.txt
Alias: BZub.DO
Erstes Auftreten: 2006-09-12
BZub.DN ist ein Trojaner, der Dateien im Windows Verzeichnis erstellt. BZub.DN setzt einen Keylogger auf dem System ab und spioniert Zugangsdaten und Passwörter sowie weitere Informationen von Online-Banking Web-Seiten aus.
Der Name des Dateianhangs in der E-Mail lautet:
rechnung.exe
Nach dem Start erstellt der Trojaner 3 Dateien im Windows System Verzeichnis.
ipv6monl.dll - Hauptkomponente msn.exe - Keylogger hook.dll - Keylogger
Die beiden letzteren werden in die Registry eingetragen und beim Systemstart automatisch geladen.
Es werden Kunden der folgenden Banken und Online-Bezahlsysteme ausspioniert:
Barklays E-Gold Intelligent Finance Nationwide's Internet Bank Postbank
Folgende Informationen werden an den Hacker weitergeleitet:
HTTP mail password HTTP mail user name IE autocomplete fields data IE protected storage data MSN Explorer signup data Outlook account passwords POP server name POP server password POP server user name SMTP e-mail address
Der Keylogger protokolliert alle Tastatureingaben und sendet diese Informationen ebenfalls an den Hacker.
Alias: BZub.DN
Erstes Auftreten: 2006-09-12
Der Trojaner BZub.DO Dateien erstellt im Windows-Verzeichnis . BZub.DO setzt einen Keylogger auf dem System ab und spioniert Zugangsdaten und Passwörter sowie weitere Informationen von Online-Banking-Webseiten aus.
Der Name des Dateianhangs in der E-Mail lautet:
rakningen.exe
Nach dem Start erstellt der Trojaner 3 Dateien im Windows-Systemverzeichnis.
ipv6monl.dll - Hauptkomponente msn.exe - Keylogger hook.dll - Keylogger
Die beiden letzteren werden in die Registry eingetragen und beim Systemstart automatisch geladen.
Es werden Kunden der folgenden Banken und Online-Bezahlsysteme ausspioniert:
Barklays E-Gold Intelligent Finance Nationwide's Internet Bank Postbank
Folgende Informationen werden an den Hacker weitergeleitet:
HTTP mail password HTTP mail user name IE autocomplete fields data IE protected storage data MSN Explorer signup data Outlook account passwords POP server name POP server password POP server user name SMTP e-mail address
Der Keylogger protokolliert alle Tastatureingaben und sendet diese Informationen ebenfalls an den Hacker.