Backdoor.Nibu.H sẽ mở một thành phần Trojan cổng sau trên hệ thống máy tính lây nhiễm. Trojan này đồng thời có thể thực hiện công việc của một keylogger (phần mềm ghi tác vụ bàn phím), định kỳ gửi thông tin đánh cắp tới một địa chỉ e-mail quy định trước.
Biệt danh: TrojanSpy.Win32.Dumarin.c
Hệ điều hành bị ảnh hưởng:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Ngày xuất hiện: 17/6/2004
Mô tả
Khi thực thi, Backdoor.Nibu.H sẽ thực hiện các hoạt động sau:
* Tự nhân bản vào thư mục Windows với các tên sau:
%System%\dllx32.exe
%System%\dlla32.exe
%Startup%\dllw32.exe
Chú ý:
-
"%System%" là một biến và Backdoor.Nibu.H có thể định vị được thư mục hệ thống rồi tự nhân bản vào vị trí đó. Theo mặc định, thư mục hệ thống sẽ là: C:\Windows\System (đối với Windows 95/98/Me); C:\Winnt\System32 (Windows NT/2000), hoặc C:\Windows\System32 (Windows XP).
-
"%Startup%" là một biến và Backdoor.Nibu.H có thể định vị được thư mục hệ thống rồi tự nhân bản vào vị trí đó. Ví dụ: C:\Windows\Start Menu\Programs\Startup (Windows 95/98/Me); hoặc C:\Documents and Settings\
\Start Menu\Programs\Startup (Windows NT/2000/XP).
* Bổ sung giá trị:
"load32"="%System%\dllx32.exe" vào khóa registry sâu để Trojan có thể tự động chạy khi hệ thống khởi động:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
* Sửa giá trị dữ liệu của "Shell" từ "explorer.exe" thành "explorer.exe %Windir%\system32\dlla32.exe" trong khóa registry sau để Trojan có thể tự động chạy khi Windows NT/2000/XP khởi động:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
* Sửa phần [boot] của System.ini file (chỉ với Windows 95/98/Me) thành:
[boot]
shell=explorer.exe %System%\dlla32.exe
để Trojan có thể chạy khi Windows 95/98/Me khởi động.
* Tìm kiếm các tiêu đề cửa số có tên trùng với các chuỗi sau nhằm thực hiện tác vụ ghi bàn phím. (Các tên sau chủ yếu là các website thanh toán trực tuyến)
Bank
bank
bull
Bull
cash
ebay
e-metal
Fethard
fethard
gold
Keeper
localhost
mull
PayPal
Storm
WebMoney
Winamp
WM Keeper
* Ghi tác vụ bàn phím được đánh vào các website có chứa chuỗi trên rồi sau đó lưu chúng trong một file log. File này có thể là: "%Windir%\1111k.log".
* Định kỳ kiểm tra các file lưu giữ thông tin đánh cắp để khi các file này có dung lượng đạt tới một ngưỡng nào đó, Trojan sẽ tiến hành gửi chúng cùng với thông tin về hệ điều hành, địa chi IP, cho một địa chỉ e-mail quy định từ trước.
* Lắng nghe lệnh từ xa trên các cổng TCP/1001 và 10000.