Trojan Mebroot

Trojan Mebroot
1. Wstęp
1.1. Informacje ogólne o Trojanie SINOWAL
1.2. Informacje ogólne o Trojanie MEBROOT
2. Kiedy wiadomo, Ŝe na komputerze jest Trojan Mebroot?
3. Jak sprawdzić czy na komputerze jest Trojan Mebroot?
4. Jak usunąć Trojan Mebroot?
Trojan Mebroot
1/7
1. Wstęp
1.1. Informacje ogólne o Trojanie SINOWAL
JuŜ od dłuŜszego czasu klienci róŜnych instytucji finansowych w tym banków naraŜeni są na
róŜnego rodzaju ataki z Internetu. Niebezpieczne dla klientów banków szczególnie są ataki
mające na celu pozyskanie danych potrzebnych do uwierzytelnienia się w portalach
bankowości internetowej oraz wykonania transakcji.
Jednym z takich zagroŜeń jest Trojan Sinowal. Występuje on pod róŜnymi nazwami w
zaleŜności od firmy antywirusowej. I tak na przykład:
Firma
ArcaBit
Avast
AVG
BitDefender
F-Secure
Kaspersky
Nazwa
Trojan.Spy.Bzub.Bte
Win32:Sinowal
Obfustat.UMQ
Trojan.PWS.Sinowal.G
Sinowal.gen7
TrojanPWS.Win32.Sinowal.xx
McAfee
Microsoft
NOD32
Norman
PWS-JA
PWS:Win32/Sinowal.gen!E
Win32/PWS.Sinowal.Gen
W32/Sinowal.XXX
Panda
Symantec
Trj/Sinowal.DW
Trojan.Anserin
Uwagi
xx przyjmuje
wartość w
zakresie [a-z]
XXX
przyjmuje
wartość w
zakresie
[A-Z]
Wirus ten jest wykrywany przez większość programów antywirusowych.
1.2. Informacje ogólne o Trojanie MEBROOT
Trojan Mebroot jest następcą Sinowala. Jego działanie jest podobne do Sinowala, ale został
on wyposaŜony w mechanizm ukrywający obecność w systemie zwany rootkitem. W tym
wypadku wykorzystano mechanizm zaraŜania MBR (Master Boot Rekord), czyli głównego
rekordu startowego dysku, w którym znajduje się program rozruchowy (boot loader).
Program ten uruchamiany jest jako pierwszy (po BIOS-e) i słuŜy do załadowania systemu
operacyjnego do pamięci operacyjnej. ZaraŜenie MBR pozwala na uruchomienie jako
pierwszego Trojana przed uruchomieniem programów antywirusowych, co daje Trojanowi
moŜliwość kontrolowania tych programów i ich oszukiwania w czasie próby skanowania.
Trojan Mebroot
2/7
2. Kiedy wiadomo, Ŝe na komputerze jest Trojan Mebroot?
JeŜeli w czasie korzystania z bankowości internetowej wyświetlany jest ekran z prośbą o
podanie poufnych danych, o które bank zazwyczaj nie prosił to najprawdopodobniej na
komputerze jest zainstalowany Trojan.
MoŜe to być prośba o podanie:
pełnego hasła do zalogowania (bez wymuszenia maski),
jednorazowych kodów,
numerów kart kredytowych,
danych osobowych w tym numer telefonu komórkowego
miejsca przechowywania klucza prywatnego klienta wraz z hasłem.
Bank nigdy nie zadaje takich pytań Klientowi.
PoniŜej przedstawiono przykładowe ekrany po zaraŜeniu komputera Trojanem Mebroot.
Atak na klientów ING Banku Śląskiego, aczkolwiek nie do końca dopracowany przez oszusta
Ŝądający podania pełnego hasła bez maski:
Trojan Mebroot
3/7
Przykład próby pozyskania kilku jednorazowych kodów w PKO BP:
Przykład próby pozyskania klucza prywatnego i hasła do klucza w Incest Banku:
Trojan Mebroot
4/7
3. Jak sprawdzić czy na komputerze jest Trojan Mebroot?
Aby stwierdzić istnienie Trojana Mebroot w systemie naleŜy sprawdzić istnienia
charakterystycznych plików. W plikach tych przechowywane są dane konfiguracyjne Trojana
oraz dane zebrane od klienta w czasie jego logowania się do aplikacji internetowych. Dane te
są co pewien czas przesyłane na serwer cyber-przestępcy. Pliki znajdują się w katalogu
C:\WINDOWS\Temp, ale są one plikami ukrytymi. Aby je zobaczyć naleŜy wykonać
następujące czynności w programie Windows Explorer:
1. Narzędzia
2. Opcje folderów…
3. Po otwarciu się okna „Opcje folderów” wybrać Widok
4. Zaznaczyć PokaŜ ukryte pliki i foldery
5. Odznaczyć Ukryj chronione pliki systemu operacyjnego…
6. Po wybraniu tej opcji pokaŜe się OstrzeŜenie naleŜy wybrać Tak
7. Następnie w oknie „Opcje i folderów” przycisk OK.
JeŜeli wykonaliśmy wszystko zgodnie z zaleceniami powyŜej i system komputerowy jest
zaraŜony Trojanem Mebroot w katalogu C:\WINDOWS\Temp pokaŜą się pliki
bca4e2da.$$$ i fa56d7ec.$$$.
Trojan Mebroot
5/7
4. Jak usunąć Trojan Mebroot?
Na dzień dzisiejszy Ŝaden z programów antywirusowych czy antyrootkitowych nie wykrywa i
nie usuwa automatycznie Trojana Mebroot.
W celu ręcznego usunięcia Trojana Mebroot naleŜy wykonać następujące czynności:
1. NaleŜy uruchomić komputer z CD-ROM-a instalacyjnego Windowsa
2. Gdy na ekranie pojawi się „Zapraszamy do programu instalacyjnego” naleŜy
wybrać klawisz R = Napraw
Po wybraniu opcji R = Napraw pokazuje się konsola odzyskiwania, gdzie kolejno
wykonujemy następujące czynności:
1. Wybieramy numer instalacji, do której chcemy się zalogować. Zazwyczaj jest tylko
jedna instalacja, więc naleŜy wybrać przycisk z cyfrą 1 i nacisnąć Enter
2. Podajemy hasło administratora i zatwierdzamy Enter. Po podaniu prawidłowego hasła
system zgłasza się kursorem C:\WINDOWS>
3. Wpisujemy polecenie fixmbr, które potwierdzamy Enter.
4. System wyświetli pytanie „Czy na pewno chcesz zapisać nowy rekord MBR?”
JeŜeli jesteśmy tego pewni wpisujemy t i potwierdzamy Enter
5. Po prawidłowej zmianie MBR wyciągamy CD i wykonujemy polecenie exit. Nastąpi
ponowne uruchomienie system operacyjnego.
Trojan Mebroot
6/7
NaleŜy jednak pamiętać, Ŝe najlepszym i najbardziej skutecznym rozwiązaniem jest
formatowanie dysku i instalowanie sytemu operacyjnego od nowa.
Trojan Mebroot
7/7