Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan-Spy.Win32.Zbot.agci

Trojan-Spy.Win32.Zbot.agci

Время детектирования	02 мар 2010 10:33 MSK
Время выпуска обновления	02 мар 2010 17:19 MSK
Описание опубликовано	09 сен 2010 13:37 MSK

Технические детали
Деструктивная активность

Технические детали

Вредоносная программа-шпион, предназначенная для похищения конфиденциальной информации пользователя.

Инсталляция

При запуске программа копирует свой исполняемый файл в системный каталог Windows:

%System%\sdra64.exe

А также создает папку c файлами

%System%\lowsec
%System%\lowsec\local.ds
%System%\lowsec\user.ds
%System%\lowsec\user.ds.lll

Для автоматического запуска при каждом следующем старте системы программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\software\microsoft\windows nt\currentversion\winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\
system32\sdra64.exe, "

Деструктивная активность

Вредоносная программа скачивает конфигурационный файл с сервера:

http://d****-2010.com/whois/license.rar

На основе анализа скачанного конфигурационного файла вредоносная программа соединяется с полученным электронным адресом злоумышленника и предоставляет удаленный доступ к компьютеру, а также обновляется из источника, указанного в конфигурационном файле.

Таким образом, злоумышленник может выполнять на компьютере следующие действия:

Скачивать и запускать произвольную программу.
Блокировать пользователю доступ к определенным электронным адресам.
Обновлять конфигурацию вредоносной программы.
Получать информацию о цифровых сертификатах, установленных в системе.
Перезагружать компьютер.

Программа может быть незаметна для таких сетевых экранов как Outpost Firewall и ZoneAlarm.

Вредоносная программа перехватывает HTTP запросы к следующим адресам:

https://onl*****#.bankofamerica.com/cgi-bin/ias/

Также в скачанном конфигурационном файле могут находится дополнительные адреса для перехвата.

Из перехваченных данных извлекаются все значения полей web-форм, имена которых выбираются по следующим маскам:

*<select
*<option selected
*<input *value

Также программа может сохранять снимки экрана, в то время как пользователь вводит пароль на сайте.

Кроме этого, вредоносная программа похищает логины и пароли к различным FTP ресурсам, используемые с следующих программах:

Total Commander
WS_FTP
FileZilla
FTP Commander
CoreFTP
SmartFTP
WinSCP

Собранную информацию программа отсылает на сайт злоумышленника, указанный в конфигурационном файле.

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan-Spy

Вредоносная программа, предназначенная для ведение электронного шпионажа за пользователем (вводимая с клавиатуры информация, снимки экрана, список активных приложений и т.д.). Найденная информация передается злоумышленнику. Для передачи данных «хозяину» могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.

Другие модификации

Trojan-Spy.Win32.Zbot.ajvn

Trojan-Spy.Win32.Zbot.ikh

Другие названия

Trojan-Spy.Win32.Zbot.agci («Лаборатория Касперского») также известен как:

Mal/Generic-L (Sophos)
PWS:Win32/Zbot (MS(OneCare))
Trojan.PWS.Panda.246 (DrWeb)
Win32/Kryptik.CQM trojan (Nod32)
Gen:Heur.Krypt.5 (BitDef7)
TrojanSpy.Zbot!eCervosRfLU (VirusBuster)
Win32:Rootkit-gen [Rtk] (AVAST)
Trojan-Spy.Win32.Zbot (Ikarus)
SHeur3.LV (AVG)
TR/Obfuscated.CW.5 (AVIRA)
AdWare.Lop (NAV)
W32/Suspicious_Gen2.ASWCE (Norman)
Trojan-Spy.Win32.Zbot.agci [AVP] (FSecure)
VirTool.Win32.Obfuscator.A (Sunbelt)
TrojanSpy.Zbot!eCervosRfLU (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com