Вредоносные программы → Trojan-Spy.Win32.Zbot.ikh
Описание:
Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл).
Trojan-Spy.Win32.Zbot.ikh («Л К») также известен как:
Тип вредоносной программы:
Троян
Уровень опасности:
высокий
Размер:
67072 байт
Технические детали:
Троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\twex.exe
Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
Троянец внедряет свой код во все запущенные в системе процессы и устанавливает перехватчики на следующие API-функции:
Используя эти перехватчики, троян следит за работой программы WebMoney Keeper. В момент, когда программа производит авторизацию на сайте, троян извлекает следующую информацию:
Также троян ищет в системе окна с именами классов:
и имеющие следующие заголовки:
Если такие окна найдены, троянец ищет в папке с программой, которой принадлежат эти окна следующие файлы:
И упаковывает их в архив:
%Temp%\interpro.cab
Также троян извлекает данные, находящиеся в буфере обмена при вставке в окна данной программы и перехватывает ввод пользователя с клавиатуры (keylogger).
Троянец перехватывает HTTP запросы со следующих адресов:
Из перехваченных данных извлекаются все значения полей web-форм, имена которых выбираются по следующим маскам:
Собранную информацию троян отсылает на сайт злоумышленника.
Удаление:
#1 При помощи завершить вредоносный процесс.
#2 Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
#3 Изменить значение параметра в ключе системного реестра на следующее:
#4 Перезагрузить компьютер.
#5 Удалить файл:
%System%\twex.exe
#6 Очистить содержимое папки %Temp%
Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.
Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл).
Trojan-Spy.Win32.Zbot.ikh («Л К») также известен как:
Trojan: Generic PWS.y (McAfee)
Mal/Generic-A (Sophos)
Trojan.Packed.443 (DrWeb)
Win32/Kryptik.FH trojan (Nod32)
MemScan:Trojan.Spy.Zeus.C (BitDef7)
Win32:Zbot-AXP [Trj] (AVAST)
TR/Spy.ZBot.ikh (AVIRA)
Trojan Horse (NAV)
Тип вредоносной программы:
Троян
Уровень опасности:
высокий
Размер:
67072 байт
Технические детали:
Троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\twex.exe
Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\software\microsoft\windows nt\currentversion\winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe, "
"userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe, "
Троянец внедряет свой код во все запущенные в системе процессы и устанавливает перехватчики на следующие API-функции:
NtCreateFile
NtQueryDirectoryInformation
LdrLoadDll
LdrGetProcedureAddress
NtCreateThread
EndDialog
DestroyWindow
TranslateMessage
GetClipboardData
NtQueryDirectoryInformation
LdrLoadDll
LdrGetProcedureAddress
NtCreateThread
EndDialog
DestroyWindow
TranslateMessage
GetClipboardData
Используя эти перехватчики, троян следит за работой программы WebMoney Keeper. В момент, когда программа производит авторизацию на сайте, троян извлекает следующую информацию:
- номер интернет-кошелька (WMID);
- пароль;
- режим входа (стандартный/enum-storage);
- версию программы WebMoney Keeper;
- текущий баланс на счету пользователя.
Также троян ищет в системе окна с именами классов:
SunAwtDialog
javax.swing.Jframe
javax.swing.Jframe
и имеющие следующие заголовки:
Вход в систему
Синхронизация с Банком
Синхронизация с Банком
Если такие окна найдены, троянец ищет в папке с программой, которой принадлежат эти окна следующие файлы:
prv_key.pfx
sign.cer
*.jks
*.db3
*.key
*.cnf
sign.cer
*.jks
*.db3
*.key
*.cnf
И упаковывает их в архив:
%Temp%\interpro.cab
Также троян извлекает данные, находящиеся в буфере обмена при вставке в окна данной программы и перехватывает ввод пользователя с клавиатуры (keylogger).
Троянец перехватывает HTTP запросы со следующих адресов:
https://ibank*.ru/*
https://bc.nsk.*.ru/*
https://www.faktura.ru/enter.jsp?site=
https://bc.nsk.*.ru/*
https://www.faktura.ru/enter.jsp?site=
Из перехваченных данных извлекаются все значения полей web-форм, имена которых выбираются по следующим маскам:
*<select
*<option selected
*<input *value="
*<option selected
*<input *value="
Собранную информацию троян отсылает на сайт злоумышленника.
Удаление:
#1 При помощи завершить вредоносный процесс.
#2 Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
#3 Изменить значение параметра в ключе системного реестра на следующее:
[HKLM\software\microsoft\windows nt\currentversion\winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe, "
"userinit" = "C:\WINDOWS\system32\userinit.exe, "
#4 Перезагрузить компьютер.
#5 Удалить файл:
%System%\twex.exe
#6 Очистить содержимое папки %Temp%
Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.