Информационная безопасность компьютерных систем и защита конфиденциальных данных
Вредоносные программы

Infostealer.Hibik.A

автор: Administrator | 14 февраля 2009, 06:36 | Просмотров: 3586
теги: Вредоносные, программы, троян, Windows, реестр, Vista, система, Services, заражение, файлы



Описание:
Троян для платформы Windows. Предназначение - хищение информации из системы. После установки в систему может удалить файл, из которого был запущен.

Тип вредоносной программы:
Троян

ОС подверженные заражению:
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Уровень опасности:
низкий

Размер:
18.101 байт

Технические детали:
При запуске создает следующие файлы:
* %System%\drivers\HBKernel32.sys
* %System%\System.exe

(Примечание: %System% - системная директория Windows)

Для хищения данных создает ряд dll:
* %System%\HBQQXX.dll
* HBmhly.dll
* HB1000Y.dll
* HBWOOOL.dll
* HBXY2.dll
* HBJXSJ.dll
* HBSO2.dll
* HBFS2.dll
* HBXY3.dll
* HBSHQ.dll
* HBFY.dll
* HBWULIN2.dll
* HBW2I.dll
* BKDXY.dll
* HBWORLD2.dll
* HBASKTAO.dll
* HBZHUXIAN.dll
* HBWOW.dll
* HBZERO.dll
* HBBO.dll
* HBCONQUER.dll
* HBSOUL.dll
* HBCHIBI.dll
* HBDNF.dll
* HBWARLORDS.dll
* HBTL.dll
* HBPICKCHINA.dll
* HBCT.dll
* HBGC.dll
* HBHM.dll
* HBHX2.dll
* HBQQHX.dll
* HBTW2.dll
* HBQQSG.dll
* HBQQFFO.dll
* HBZT.dll
* HBMIR2.dll
* HBRXJH.dll
* HBYY.dll
* HBMXD.dll
* HBSQ.dll
* HBTJ.dll
* HBFHZL.dll
* HBWLQX.dll
* HBLYFX.dll
* HBR2.dll
* HBCHD.dll
* HBTZ.dll
* HBQQXX.dll
* HBWD.dll
* HBZG.dll
* HBPPBL.dll
* HBXMJ.dll
* HBJTLQ.dll
* HBQJSJ.dll

(Примечание: все вышеуказанные файлы, кроме первого, создаются в директории, из которой был запущен троян.)

Создает в реестре следующие подключи:
* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Enum\ Root\ LEGACY_HBKERNEL32
* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ HBKernel32
* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet003\ Services\ HBKernel32
* HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Enum\ Root\ LEGACY_HBKERNEL32
* HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ HBKernel32


Обеспечивает себе автозагрузку, добавляя в реестр соответствующую запись:
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ "HBService32" = "SYSTEM.EXE"

Модифицирует запись реестра:
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Windows\ "AppInit_DLLs" = "48 42 6D 68 6C 79 2E 64 6C 6C 2C 48 42 31 30 30 30 59 2E 64 6C 6C 2C 48 42 57 4F 4F 4F 4C 2E 64 6C 6C 2C 48 42 58 59 32 2E 64 6C 6C 2C 48 42 4A 58 53 4A 2E 64 6C 6C 2C 48 42 53 4F 32 2E 64 6C 6C 2C 48 42 46 53 32 2E 64 6C 6C 2C 48 42 58 59 33 2E 64 6C 6C 2C 48 42 53 48 51 2E 64 6C 6C 2C 48 42 46 59 2E 64 6C 6C 2C 48 42 57 55 4C 49 4E 32 2E 64 6C 6C 2C 48 42 57 32 49 2E 64 6C 6C 2C 48 42 4B 44 58 59 2E 64 6C 6C 2C 48 42 57 4F 52 4C 44 32 2E 64 6C 6C 2C 48 42 41 53 4B 54 41 4F 2E 64 6C 6C 2C 48 42 5A 48 55 58 49 41 4E 2E 64 6C 6C 2C 48 42 57 4F 57 2E 64 6C 6C 2C 48 42 5A 45 52 4F 2E 64 6C 6C 2C 48 42 42 4F 2E 64 6C 6C 2C 48 42 43 4F 4E 51 55 45 52 2E 64 6C 6C 2C 48 42 53 4F 55 4C 2E 64 6C 6C 2C 48 42 43 48 49 42 49 2E 64 6C 6C 2C 48 42 44 4E 46 2E 64 6C 6C 2C 48 42 57 41 52 4C 4F 52 44 53 2E 64 6C 6C 2C 48 42 54 4C 2E 64 6C 6C 2C 48 42 50 49 43 4B 43 48 49 4E 41 2E 64 6C 6C 2C 48 42 43 54 2E 64 6C 6C 2C 48 42 47 43 2E 64 6C 6C 2C 48 42 48 4D 2E 64 6C 6C 2C 48 42 48 58 32 2E 64 6C 6C 2C 48 42 51 51 48 58 2E 64 6C 6C 2C 48 42 54 57 32 2E 64 6C 6C 2C 48 42 51 51 53 47 2E 64 6C 6C 2C 48 42 51 51 46 46 4F 2E 64 6C 6C 2C 48 42 5A 54 2E 64 6C 6C 2C 48 42 4D 49 52 32 2E 64 6C 6C 2C 48 42 52 58 4A 48 2E 64 6C 6C 2C 48 42 59 59 2E 64 6C 6C 2C 48 42 4D 58 44 2E 64 6C 6C 2C 48 42 53 51 2E 64 6C 6C 2C 48 42 54 4A 2E 64 6C 6C 2C 48 42 46 48 5A 4C 2E 64 6C 6C 2C 48 42 57 4C 51 58 2E 64 6C 6C 2C 48 42 4C 59 46 58 2E 64 6C 6C 2C 48 42 52 32 2E 64 6C 6C 2C 48 42 43 48 44 2E 64 6C 6C 2C 48 42 54 5A 2E 64 6C 6C 2C 48 42 51 51 58 58 2E 64 6C 6C 2C 48 42 57 44 2E 64 6C 6C 2C 48 42 5A 47 2E 64 6C 6C 2C 48 42 50 50 42 4C 2E 64 6C 6C 2C 48 42 58 4D 4A 2E 64 6C 6C 2C 48 42 4A 54 4C 51 2E 64 6C 6C 2C 48 42 51 4A 53 4A 2E 64 6C 6C"

После установки троян может удалить файл, из которого был запущен.

Удаление:
#1 Отключить функцию "Восстановление системы"
#2 Полностью проверить систему антивирусом с обновлённой базой сигнатур
#3 Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.


источник:
symantec.com

Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.