Энэ Trojan програм нь UPS, Western union, Facebook-ийн шилжүүлгийн захиа хэлбэрээр email-ээр зүсээ хувирган (Доорх зургаас харна уу) "Facebook Password reset confirmation", "UPS invoice"," Western Union transfer is available for withdraw" гэх зэрэг гарчигтайгаар ирдэг.

bredolab2

bredolab1

Эсхүл Exploit:Win32/Pdfjsc –оор дамжуулан татагдаж болно. zip-хавсралтыг задалбал 36-40kb хэмжээтэй Excel, Word-н icon-той файлууд байдаг.
Тэрээр ачаалагдах хавтаст сууж нэрээ байнга өөрчилж байх ба хууль ёсны svchost.exe болон explorer.exe зэрэг үйл явцад өөрийгөө нэгтгэх замаар firewall-ыг тойрч гардаг байна. Зарим хувилбар нь 'virtualization -aware' нэртэй байх ба anti-sandbox code агуулж байж болно.
Энэ вирус нь Antivirus програмуудад илрэхдээ:

* Backdoor.Win32.Bredolab.ou(Kaspersky)

* TROJ_BREDOLAB.J(TrendMicro)

* Trojan-Downloader.Win32.Bredolab(Ikarus)

* Trojan-Downloader:W32/Bredolab.ED(F-Secure)

* Trojan.Bredload.gen(Mc Afee)

гэсэн нэртэйгээр баригддаг байна.

Win32/Bredloab –ийн хувилбарууд дараах үйлдлүүдийг хийнэ:
Дараах файлуудыг үүсгэдэг:

* \digeste.dll

* \digiwet.dll

* \mcenspc.dll

* \msansspc.dll

* %startup%\asgupd32.exe

* %startup%\dfqupd32.exe

* %startup%\dmaupd32.exe

* %startup%\fmnupd32.exe

* %startup%\ihaupd32.exe

* %startup%\imiupd32.exe

* %startup%\legupd32.exe

* %startup%\ppqupd32.exe

* %startup%\rqjupd32.exe

* %startup%\ikowin32.exe

* %startup%\wbhwin32.exe

* %startup%\hcgwin32.exe

* %startup%\fqosys32.exe

* %startup%\lecsys32.exe

* %startup%\necsys32.exe

* %startup%\rncsys32.exe

* %startup%\ysfsys32.exe

* %startup%\zqosys32.exe

* \wbem\grpconv.exe

* %appdata%\wiaserva.log %Temp%\wpv[12 RANDOM NUMBERS].exe

Доорх registry-г өөрчилдөг.

* HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, digeste.dll"

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"=%System%\userinit.exe, %System%\

* HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"RunGrpConv" = "1"

Дараах мутантыг үүсгэдэг:

* _SYSTEM_4D2EF3A_

Доорх жагсаалтад байгаа хаягуудруу холбогдож хортой кодуудыг татаж авна.

* 58.65.235.41

* 78.109.29.116

* 78.109.29.112

* 91.207.61.12

* 213.155.4.82

* dollarpoint .ru

* imoviemax .ru

* mudstrang .ru

* vanni-van .cn

* gssmedia .cn

* www .qoeirq .com

Энэ Trojan таны компьютерт суусан бол доорх хортой кодуудыг татаж таны компьютерт суулгадаг байна:
Win32/Ambler,Win32/Boaxxe,Win32/Busky,Win32/Cbeplay,
Win32/Cutwail, Win32/Daurso,Win32/FakeRean, Win32/
FakeSpypro,Win32/Haxdoor,Win32/Hiloti,Win32/Insnot,
Win32/Koobface, Win32/Momibot,Win32/Oderoor, Win32/
Oficla, Win32/Otlard,Win32/Rlsloup,Win32/Rustock,
Win32/Sinowal,Win32/Tedroo,Win32/Ursnif,Win32/Vundo,
Win32/Waledac,Win32/Wantvi,Win32/Winwebsec,Win32/Wopla,
Win32/Zbot

Хэрхэн арилгах вэ?

* System restore-г түр зуур хаана.

* Antivirus-ны програмыг update хийнэ.

* Компьютераа Restart хийгээд SafeMode-оор орно

* Full system scan хийж халдварласан бүх файлыг илрүүлж, цэвэрлэж/устгана.

* Регистрт нэмэгдсэн аливаа утгыг устгах/өөрчлөх.

Trojandownloader:Win32/Bredolab нь маш хурдан үржиж олширдог тул хэрэглэгчид доорх арга хэмжээ авах нь зүйтэй.

* Эх сурвалж нь үл мэдэгдэх хаягаас ирсэн e-mail-н attachment-г татаж авахгүй байх, e-mail доторхи холбоосыг дарж орохгүй байх.

* Үйлдлийн систем, хэрэглээний програм болон antivirus, анти спай програмын update-г тогтмол хийж байх.

Эх сурвалж
http://www.symantec.com/connect/blogs/bredolab-delivers-more-parcels-and-cash
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32/Bredolab
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Search.aspx?query=Bredolabshowall=False&CBF=False&sortby=date&sortdir=desc
http://blog.trendmicro.com/fake-facebook-password-notification-leads-to-malware/
http://www.sophos.com/security/analyses/viruses-and-spyware/trojbredolabf.html
http://www.bitdefender.com/VIRUS-1000540-en--Trojan.Downloader.Bredolab.AM.html[img]http://http://www.moncirt.org.mn/Untitled1.jpg/image_preview[/img]