Home → Encyklopedia → Konie trojańskie → Trojan-Spy.Win32.Zbot.ikh
Instalacja
Trojan ten kopiuje swój plik wykonywalny do katalogu systemowego Windows:
%System%\twex.exe
W celu zapewnienia sobie automatycznego uruchamiania podczas restartu systemu trojan dodaje odsyłacz do swojego pliku wykonywalnego w rejestrze systemowym:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,"
Funkcje szkodnika
Trojan wstrzykuje swój kod do wszystkich procesów uruchomionych na zaatakowanej maszynie i instaluje mechanizmy przechwytujące poniższe funkcje API:
NtCreateFile NtQueryDirectoryInformation LdrLoadDll LdrGetProcedureAddress NtCreateThread EndDialog DestroyWindow TranslateMessage GetClipboardData
Trojan wykorzystuje te mechanizmy do śledzenia aktywności aplikacji WebMoney Keeper. Gdy program ten wykorzystywany jest do autoryzowania użytkownika w serwisie płatniczym, trojan przechwytuje następujące informacje:
Trojan ten przeszukuje również system w celu znalezienia okien następujących klas:
SunAwtDialog javax.swing.Jframe
które posiadają poniższe nagłówki:
Âoîä â nenoaió [Vkhod v sistemy – “Enter system”]
Neío?îíeçaöey n Áaíeîi [Sinkhronizatsiya s Bankom – “Synchronization with bank”] </pre>
Jeżeli trojan znajdzie takie okna, przeszukuje folder zawierający program, który należy do takich okien, w celu znalezienia następujących plików:
prv_key.pfx sign.cer *.jks *.db3 *.key *.cnf
Następnie pakuje je w archiwum:
%Temp%\interpro.cab
Program przechwytuje również dane ze schowka, gdy są kopiowane do okna, oraz dane wprowadzane za pośrednictwem klawiatury.
Trojan przechwytuje zapytania HTTP z poniższych adresów:
https://ibank*.ru/* https://bc.nsk.*.ru/* https://www.faktura.ru/enter.jsp?site=
Trojan wydobywa wszystkie wartości pól formularza z przechwyconych danych wykorzystując poniższe maski:
*(select *(option selected *(input *value="
z kodu strony internetowej.
Przechwycone dane wysyła na stronę zdalnego szkodliwego użytkownika:
Usuwanie szkodnika z zainfekowanego systemu
Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe, "
%System%\twex.exe
Analizy
Blog