Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory Trojan-Spy.Win32.Zbot.ikhCelem tego trojana jest kradzież poufnych danych. Szkodnik ma postać pliku PE EXE o rozmiarze 67072 bajtów.
Trojan ten kopiuje swój plik wykonywalny do katalogu systemowego Windows: %System% wex.exe W celu zapewnienia sobie automatycznego uruchamiania podczas restartu systemu trojan dodaje odsyłacz do swojego pliku wykonywalnego w rejestrze systemowym:
Trojan wstrzykuje swój kod do wszystkich procesów uruchomionych na zaatakowanej maszynie i instaluje mechanizmy przechwytujące poniższe funkcje API: NtCreateFile NtQueryDirectoryInformation LdrLoadDll LdrGetProcedureAddress NtCreateThread EndDialog DestroyWindow TranslateMessage GetClipboardData Trojan wykorzystuje te mechanizmy do śledzenia aktywności aplikacji WebMoney Keeper. Gdy program ten wykorzystywany jest do autoryzowania użytkownika w serwisie płatniczym, trojan przechwytuje następujące informacje:
Trojan ten przeszukuje również system w celu znalezienia okien następujących klas: SunAwtDialog javax.swing.Jframe które posiadają poniższe nagłówki: Âoîä â nenoaió [Vkhod v sistemy – “Enter system”] Jeżeli trojan znajdzie takie okna, przeszukuje folder zawierający program, który należy do takich okien, w celu znalezienia następujących plików: prv_key.pfx sign.cer *.jks *.db3 *.key *.cnf Następnie pakuje je w archiwum: %Temp%interpro.cab Program przechwytuje również dane ze schowka, gdy są kopiowane do okna, oraz dane wprowadzane za pośrednictwem klawiatury. Trojan przechwytuje zapytania HTTP z poniższych adresów: https://ibank*.ru/* https://bc.nsk.*.ru/* https://www.faktura.ru/enter.jsp?site= Trojan wydobywa wszystkie wartości pól formularza z przechwyconych danych wykorzystując poniższe maski: *(select *(option selected *(input *value=" z kodu strony internetowej. Przechwycone dane wysyła na stronę zdalnego szkodliwego użytkownika: Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:
|