Smartphones – Ulven er ankommet - DK Cert

More documents

Recommendations

Info

Analyse af en Zitmo-variant DK-CERT har analyseret en variant af Zitmo. En test med VirusTotal viser, at 26 ud af 43 antivirusprodukter kan genkendte og standse truslen (60,5 procent). Der skal dog tages forbehold for, at VirusTotal primært er et udvalg af Windows-baserede skannere samt gateway-produkter. MD5: ecbbce17053d6eaf9bf9cb7c71d0af8d SHA1: c9368c3edbcfa0bf443e060f093c300796b14673 Filstørrelse: 19865 bytes Scan-dato: 2011-08-02 06:10:05 (UTC) Zbot-varianter DK-CERT er bekendt med minimum 26 unikke varianter af Zbot, som distribuerede den konfigurationsfil, der blev anvendt til at lokke brugeren til at installere Zitmo. MD5 Checksum for Zbot trojaneren C&C Serveren 05CB60D659500A8153AA283872CAA729 http://jlvlinpevovmyqod.org 6775FB0A3D2D80F44A1BF3B071A2E383 http://jqpxsdvfyjptrujxm.com 9EDE4B781535539356B64B042BF839AB http://hkdheqxfmpnrwspx.com 221929C945FEA62C310ED737CBD75B07 http://shsnskhptxqunlp.info 78DDEAEAFFD0739ABC99211B9E1AC7A2 http://rjilvvuplpsuxtvq.info F6EB67B32D9F3514DF46E32D56456401 http://rjilvvuplpsuxtvq.info 20EFB95718A6CDCA91DD3D25D5948504 http://kzlkngpxtmgsojr.net 1D1296B0EC4243830E533C27DFF5A4DB http://kzlkngpxtmgsojr.net B4001BBF314EBE76A64349FEBD935622 http://tjpmmqrhrlmrhn.com E0B6C4C88D41F148975187B183AC8996 http://tjpmmqrhrlmrhn.com E3AAE4151490CBC0326BB1198CDEE34D http://kzlkngpxtmgsojr.net 2436F005E98F93BDDC3458F26BD1230C http://xgamrrqpsrqjvqp.org C8B21A49D2FFC97BB361B01A7A98B089 http://tjpmmqrhrlmrhn.com C773BFE21DAA3E47D08550D616D3FED0 http://tjpmmqrhrlmrhn.com 7D70442DD691150F69B5C4792CFDFDF5 http://kksqulqorjyqjvo.org 712D26996EFCC324D590148B58C741B0 http://tjpmmqrhrlmrhn.com F0A9714ADF5DDFBDD81DCF8770E0D089 http://kzlkngpxtmgsojr.net 39066071EDEC05E01EAA64347DFA753F http://kzlkngpxtmgsojr.net E3E66002FF339849B70E1B19B3D3C439 http://kzlkngpxtmgsojr.net E8707CBDA2B2E3D329F12DD1EA460A9A http://kzlkngpxtmgsojr.net 81C143DB17D1AA47EE7F38032ADD44A1 ukendt B5C287311B96165F66B6795E96E43C26 ukendt 15E9BB01E2AEA15CC50FCE450B386D68 ukendt 4E63CC6541B54F17B3B95D83724632F1 ukendt 7D0D4AE507F8FE37B1920655280AC500 ukendt 83347F5FCF0C6F53F479F08538B39907 ukendt Infektionsprocessen Zitmo-varianten bliver installeret af brugere, hvis pc i forvejen er ramt af Zbot. Dette program har mulighed for at modificere, hvad brugeren ser i browseren ved at indlejre ekstra HTML-kode. Når en inficeret bruger kommer ind på sin netbank, bliver han/hun præsenteret for følgende billede:
Når brugeren vælger ”Android” og ”Continue,” bliver han/hun introduceret for et link til Zitmo-trojaneren, som skal hentes ned på Android-enheden og installeres. Når installationen er komplet og koden køres på enheden, vises et unikt ID, som skal indtastes i browservinduet for at knytte Android-enheden til pc’en. Billeder af applikationen på Android-enheden kan ses på billedet til højre. Til venstre vises, hvad brugeren ser i sit browservindue. Rettigheder Androidapplikationer installeres enten som en enkeltstående applikation, der hentes fra internettet (det er måden Zitmo spredes på), eller via ”Android Market.” Uanset metoden indeholder applikationen altid en fil, der hedder ”AndroidManifest.xml”. ”AndroidManifest.xml” er en beskrivelse til Androidenheden om hvilke rettigheder, den pågældende applikation skal have for at fungere. ”AndroidManifest.xml” fra Zitmo-trojaneren. Denne XML-fil er også med til at afklare, hvad der skal præsenteres for brugeren, når han eller hun installerer en applikation. Man kunne tro, at bagmændene blot kunne indtaste falske informationer i filen. De kunne for eksempel undlade at beskrive, at applikationen skal have adgang til SMS. Men Android-systemet anvender selv ”AndroidManifest.xml” til at tjekke, hvilke API’er (applikationsprogrammeringsinterfaces) der er rettigheder til. Det vil sige, at hvis der ikke står i manifestet, at applikationen skal kunne læse SMS’er, får den heller ikke adgang til det.
Page 1 and 2: DK•CERT [Smartphones - Ulven er a
Page 3 and 4: Om DK•CERT Det er DK•CERTs miss
Page 5 and 6: Indledning Der har været råbt ulv
Page 7: Ved eksempelvis spillet ”Drag Rac
Page 11 and 12: Zitmo-kilden til alt ondt Zitmo er
Page 13 and 14: ServerSession.class ServerSession s
Page 15 and 16: Referencer Om Android http://da.wik

Smartphones – Ulven er ankommet - DK Cert

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?