Информационная безопасность компьютерных систем и защита конфиденциальных данных
Вредоносные программы

Trojan-Spy.Win32.Zbot.ikh

автор: Administrator | 5 декабря 2009, 02:48 | Просмотров: 11427
теги: Вредоносные программы, Zbot, Троян, программа-шпион, Windows, файл, реестр, код, процессы



Описание:
Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл).

Trojan-Spy.Win32.Zbot.ikh («Л К») также известен как:
Trojan: Generic PWS.y (McAfee)
Mal/Generic-A (Sophos)
Trojan.Packed.443 (DrWeb)
Win32/Kryptik.FH trojan (Nod32)
MemScan:Trojan.Spy.Zeus.C (BitDef7)
Win32:Zbot-AXP [Trj] (AVAST)
TR/Spy.ZBot.ikh (AVIRA)
Trojan Horse (NAV)


Тип вредоносной программы:
Троян

Уровень опасности:
высокий

Размер:
67072 байт

Технические детали:
Троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\twex.exe

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\software\microsoft\windows nt\currentversion\winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe, "


Троянец внедряет свой код во все запущенные в системе процессы и устанавливает перехватчики на следующие API-функции:
NtCreateFile
NtQueryDirectoryInformation
LdrLoadDll
LdrGetProcedureAddress
NtCreateThread
EndDialog
DestroyWindow
TranslateMessage
GetClipboardData


Используя эти перехватчики, троян следит за работой программы WebMoney Keeper. В момент, когда программа производит авторизацию на сайте, троян извлекает следующую информацию:
- номер интернет-кошелька (WMID);
- пароль;
- режим входа (стандартный/enum-storage);
- версию программы WebMoney Keeper;
- текущий баланс на счету пользователя.


Также троян ищет в системе окна с именами классов:
SunAwtDialog
javax.swing.Jframe


и имеющие следующие заголовки:
Вход в систему
Синхронизация с Банком


Если такие окна найдены, троянец ищет в папке с программой, которой принадлежат эти окна следующие файлы:
prv_key.pfx
sign.cer
*.jks
*.db3
*.key
*.cnf


И упаковывает их в архив:
%Temp%\interpro.cab

Также троян извлекает данные, находящиеся в буфере обмена при вставке в окна данной программы и перехватывает ввод пользователя с клавиатуры (keylogger).

Троянец перехватывает HTTP запросы со следующих адресов:
https://ibank*.ru/*
https://bc.nsk.*.ru/*
https://www.faktura.ru/enter.jsp?site=


Из перехваченных данных извлекаются все значения полей web-форм, имена которых выбираются по следующим маскам:
*<select
*<option  selected
*<input *value="


Собранную информацию троян отсылает на сайт злоумышленника.

Удаление:
#1 При помощи завершить вредоносный процесс.

#2 Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

#3 Изменить значение параметра в ключе системного реестра на следующее:
[HKLM\software\microsoft\windows nt\currentversion\winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe, "


#4 Перезагрузить компьютер.

#5 Удалить файл:
%System%\twex.exe

#6 Очистить содержимое папки %Temp%

Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.




источник:
securelist.com
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.