B膮d藕 na bie偶膮co! Kana艂y RSS 

Zagro偶enia

Porady

Pytania i odpowiedzi
Jak to zrobi膰?

Polecamy

Sponsorzy





Encyklopedia wirus贸w

Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wielocz臋艣ciowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirus贸w | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazuj膮ce na nich wirusy | Konie troja艅skie | Wirusy skryptowe | Robaki | 呕arty oraz programy nie b臋d膮ce wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

  

Trojan-Spy.Win32.Zbot.ikh

Celem tego trojana jest kradzie偶 poufnych danych. Szkodnik ma posta膰 pliku PE EXE o rozmiarze 67072 bajt贸w.

Instalacja

Trojan ten kopiuje sw贸j plik wykonywalny do katalogu systemowego Windows: 

%System%	wex.exe

W celu zapewnienia sobie automatycznego uruchamiania podczas restartu systemu trojan dodaje odsy艂acz do swojego pliku wykonywalnego w rejestrze systemowym:

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"userinit" = "C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32 wex.exe,"

Funkcje szkodnika

Trojan wstrzykuje sw贸j kod do wszystkich proces贸w uruchomionych na zaatakowanej maszynie i instaluje mechanizmy przechwytuj膮ce poni偶sze funkcje API: 

NtCreateFile
NtQueryDirectoryInformation
LdrLoadDll
LdrGetProcedureAddress
NtCreateThread
EndDialog
DestroyWindow
TranslateMessage
GetClipboardData

Trojan wykorzystuje te mechanizmy do 艣ledzenia aktywno艣ci aplikacji WebMoney Keeper. Gdy program ten wykorzystywany jest do autoryzowania u偶ytkownika w serwisie p艂atniczym, trojan przechwytuje nast臋puj膮ce informacje:

  • Purse number (WMID);
  • Password;
  • Mode (standard/e-num storage)
  • WebMoney Keeper version;
  • User’s current balance

Trojan ten przeszukuje r贸wnie偶 system w celu znalezienia okien nast臋puj膮cych klas: 

SunAwtDialog
javax.swing.Jframe

kt贸re posiadaj膮 poni偶sze nag艂贸wki: 

脗o卯盲 芒 nenoai贸
[Vkhod v sistemy – “Enter system”] 


Ne铆o?卯铆e莽a枚ey
n 脕a铆e卯i [Sinkhronizatsiya s
Bankom – “Synchronization with bank”]

Je偶eli trojan znajdzie takie okna, przeszukuje folder zawieraj膮cy program, kt贸ry nale偶y do takich okien, w celu znalezienia nast臋puj膮cych plik贸w: 

prv_key.pfx
sign.cer
*.jks
*.db3
*.key
*.cnf

Nast臋pnie pakuje je w archiwum: 

%Temp%interpro.cab

Program przechwytuje r贸wnie偶 dane ze schowka, gdy s膮 kopiowane do okna, oraz dane wprowadzane za po艣rednictwem klawiatury.

Trojan przechwytuje zapytania HTTP z poni偶szych adres贸w: 

https://ibank*.ru/*
https://bc.nsk.*.ru/*
https://www.faktura.ru/enter.jsp?site=

Trojan wydobywa wszystkie warto艣ci p贸l formularza z przechwyconych danych wykorzystuj膮c poni偶sze maski: 

*(select
*(option  selected
*(input *value="

z kodu strony internetowej.

Przechwycone dane wysy艂a na stron臋 zdalnego szkodliwego u偶ytkownika:

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu szkodliwego programu.
  2. Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Zmodyfikuj nast臋puj膮c膮 warto艣膰 klucza rejestru systemowego na poni偶sz膮 warto艣膰:

    [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
    "userinit" = "C:WINDOWSsystem32userinit.exe, "

  4. Uruchom ponownie komputer.
  5. Usu艅 nast臋puj膮cy plik: 
     
%System%	wex.exe

  6. Usu艅 katalog tymczasowy (%Temp%).
  7. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).


Strona g艂贸wna | Nowo艣ci | Artyku艂y | Raporty | Kontakt | Polityka plik贸w cookie
Copyright © 2023 WirusPC.pl