Smartphones – Ulven er ankommet - DK Cert
Smartphones – Ulven er ankommet - DK Cert
Smartphones – Ulven er ankommet - DK Cert
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Analyse af en Zitmo-variant<br />
<strong>DK</strong>-CERT har analys<strong>er</strong>et en variant af Zitmo. En test med VirusTotal vis<strong>er</strong>, at 26 ud af 43 antivirusprodukt<strong>er</strong> kan<br />
genkendte og standse truslen (60,5 procent). D<strong>er</strong> skal dog tages forbehold for, at VirusTotal primært <strong>er</strong> et udvalg af<br />
Windows-bas<strong>er</strong>ede skann<strong>er</strong>e samt gateway-produkt<strong>er</strong>.<br />
MD5: ecbbce17053d6eaf9bf9cb7c71d0af8d<br />
SHA1: c9368c3edbcfa0bf443e060f093c300796b14673<br />
Filstørrelse: 19865 bytes<br />
Scan-dato: 2011-08-02 06:10:05 (UTC)<br />
Zbot-variant<strong>er</strong><br />
<strong>DK</strong>-CERT <strong>er</strong> bekendt med minimum 26 unikke variant<strong>er</strong> af Zbot, som distribu<strong>er</strong>ede den konfigurationsfil, d<strong>er</strong> blev<br />
anvendt til at lokke brug<strong>er</strong>en til at install<strong>er</strong>e Zitmo.<br />
MD5 Checksum for Zbot trojan<strong>er</strong>en C&C S<strong>er</strong>v<strong>er</strong>en<br />
05CB60D659500A8153AA283872CAA729 http://jlvlinpevovmyqod.org<br />
6775FB0A3D2D80F44A1BF3B071A2E383 http://jqpxsdvfyjptrujxm.com<br />
9EDE4B781535539356B64B042BF839AB http://hkdheqxfmpnrwspx.com<br />
221929C945FEA62C310ED737CBD75B07 http://shsnskhptxqunlp.info<br />
78DDEAEAFFD0739ABC99211B9E1AC7A2 http://rjilvvuplpsuxtvq.info<br />
F6EB67B32D9F3514DF46E32D56456401 http://rjilvvuplpsuxtvq.info<br />
20EFB95718A6CDCA91DD3D25D5948504 http://kzlkngpxtmgsojr.net<br />
1D1296B0EC4243830E533C27DFF5A4DB http://kzlkngpxtmgsojr.net<br />
B4001BBF314EBE76A64349FEBD935622 http://tjpmmqrhrlmrhn.com<br />
E0B6C4C88D41F148975187B183AC8996 http://tjpmmqrhrlmrhn.com<br />
E3AAE4151490CBC0326BB1198CDEE34D http://kzlkngpxtmgsojr.net<br />
2436F005E98F93BDDC3458F26BD1230C http://xgamrrqpsrqjvqp.org<br />
C8B21A49D2FFC97BB361B01A7A98B089 http://tjpmmqrhrlmrhn.com<br />
C773BFE21DAA3E47D08550D616D3FED0 http://tjpmmqrhrlmrhn.com<br />
7D70442DD691150F69B5C4792CFDFDF5 http://kksqulqorjyqjvo.org<br />
712D26996EFCC324D590148B58C741B0 http://tjpmmqrhrlmrhn.com<br />
F0A9714ADF5DDFBDD81DCF8770E0D089 http://kzlkngpxtmgsojr.net<br />
39066071EDEC05E01EAA64347DFA753F http://kzlkngpxtmgsojr.net<br />
E3E66002FF339849B70E1B19B3D3C439 http://kzlkngpxtmgsojr.net<br />
E8707CBDA2B2E3D329F12DD1EA460A9A http://kzlkngpxtmgsojr.net<br />
81C143DB17D1AA47EE7F38032ADD44A1 ukendt<br />
B5C287311B96165F66B6795E96E43C26 ukendt<br />
15E9BB01E2AEA15CC50FCE450B386D68 ukendt<br />
4E63CC6541B54F17B3B95D83724632F1 ukendt<br />
7D0D4AE507F8FE37B1920655280AC500 ukendt<br />
83347F5FCF0C6F53F479F08538B39907 ukendt<br />
Infektionsprocessen<br />
Zitmo-varianten bliv<strong>er</strong> install<strong>er</strong>et af brug<strong>er</strong>e, hvis pc i forvejen <strong>er</strong> ramt af Zbot. Dette program har mulighed for at<br />
modific<strong>er</strong>e, hvad brug<strong>er</strong>en s<strong>er</strong> i brows<strong>er</strong>en ved at indlejre ekstra HTML-kode.<br />
Når en infic<strong>er</strong>et brug<strong>er</strong> komm<strong>er</strong> ind på sin netbank, bliv<strong>er</strong> han/hun præsent<strong>er</strong>et for følgende billede: