Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Trojan-Spy.Win32.Zbot.ikh

Celem tego trojana jest kradzież poufnych danych. Szkodnik ma postać pliku PE EXE o rozmiarze 67072 bajtów.

Instalacja

Trojan ten kopiuje swój plik wykonywalny do katalogu systemowego Windows:

%System%	wex.exe

W celu zapewnienia sobie automatycznego uruchamiania podczas restartu systemu trojan dodaje odsyłacz do swojego pliku wykonywalnego w rejestrze systemowym:

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"userinit" = "C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32 wex.exe,"

Funkcje szkodnika

Trojan wstrzykuje swój kod do wszystkich procesów uruchomionych na zaatakowanej maszynie i instaluje mechanizmy przechwytujące poniższe funkcje API:

NtCreateFile
NtQueryDirectoryInformation
LdrLoadDll
LdrGetProcedureAddress
NtCreateThread
EndDialog
DestroyWindow
TranslateMessage
GetClipboardData

Trojan wykorzystuje te mechanizmy do śledzenia aktywności aplikacji WebMoney Keeper. Gdy program ten wykorzystywany jest do autoryzowania użytkownika w serwisie płatniczym, trojan przechwytuje następujące informacje:

  • Purse number (WMID);
  • Password;
  • Mode (standard/e-num storage)
  • WebMoney Keeper version;
  • User’s current balance

Trojan ten przeszukuje również system w celu znalezienia okien następujących klas:

SunAwtDialog
javax.swing.Jframe

które posiadają poniższe nagłówki:

Âoîä â nenoaió
[Vkhod v sistemy – “Enter system”] 

Neío?îíeçaöey n Áaíeîi [Sinkhronizatsiya s Bankom – “Synchronization with bank”]

Jeżeli trojan znajdzie takie okna, przeszukuje folder zawierający program, który należy do takich okien, w celu znalezienia następujących plików:

prv_key.pfx
sign.cer
*.jks
*.db3
*.key
*.cnf

Następnie pakuje je w archiwum:

%Temp%interpro.cab

Program przechwytuje również dane ze schowka, gdy są kopiowane do okna, oraz dane wprowadzane za pośrednictwem klawiatury.

Trojan przechwytuje zapytania HTTP z poniższych adresów:

https://ibank*.ru/*
https://bc.nsk.*.ru/*
https://www.faktura.ru/enter.jsp?site=

Trojan wydobywa wszystkie wartości pól formularza z przechwyconych danych wykorzystując poniższe maski:

*(select
*(option  selected
*(input *value="

z kodu strony internetowej.

Przechwycone dane wysyła na stronę zdalnego szkodliwego użytkownika:

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia procesu szkodliwego programu.
  2. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  3. Zmodyfikuj następującą wartość klucza rejestru systemowego na poniższą wartość:

    [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
    "userinit" = "C:WINDOWSsystem32userinit.exe, "

  4. Uruchom ponownie komputer.
  5. Usuń następujący plik:
     
    %System%	wex.exe
    

  6. Usuń katalog tymczasowy (%Temp%).
  7. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).