RSS-каналы
Уровень опасности: 1
Trojan-Spy.Win32.BZub.ji
| Время детектирования | 09 июн 2007 14:32 MSK |
| Время выпуска обновления | 20 июн 2007 19:51 MSK |
| Описание опубликовано | 09 июн 2007 14:32 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа-шпион, предназначенная для кражи конфиденциальной информации пользователя. Является библиотекой Windows (PE DLL-файл). Имеет размер 67776 байт. Ничем не упакована. Написана на Visual C++.
Инсталляция
Вирус инсталлируется в систему при помощи других вредоносных программ.
После запуска троянец выполняет следующие действия на зараженном компьютере:
- Добавляет класс объекта в системный реестр:
[HKLM\Software\Classes\AppID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}] [HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}] [HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}\InprocServer32] "<путь до троянской программы>" - Регистрирует BНО (Browser Helper Objects):
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{36DBC179-A19F-48F2-B16A-6A3E19B42A87}] - Изменяет настройки браузера Internet Explorer:
[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"IEXPLORE.EXE" = "IEXPLORE.EXE:*:Enabled:Internet"
[HKCU]\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
[HKCU\Software\Internet Explorer\Main]
"Enable Browser Extensions" = "yes" - Создает ключ с параметрами установки:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\load]
Деструктивная активность
При запуске Internet Explorer троянский компонент запускается автоматически. Вредоносная программа осуществляет поиск закэшированных паролей и в дальнейшем сохраняет вводимые пользователем пароли в файле «form.txt».
Также вирус создает файл с именем «info.txt», куда помещает следующую информацию:
- имя компьютера
- IP-адрес
- тип и версия ОС
- имя учетной записи пользователя
- данные из почтового клиента Outlook
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- Завершить работу Internet Explorer.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить значения системного реестра:
[HKLM\Software\Classes\AppID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
[HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
[HKCU]\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}
[HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\load] - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для ведение электронного шпионажа за пользователем (вводимая с клавиатуры информация, снимки экрана, список активных приложений и т.д.). Найденная информация передается злоумышленнику. Для передачи данных «хозяину» могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.
Trojan-Spy.
- Trojan:
Spy-Agent. ba. gen (McAfee) - Mal/Cimuz-A (Sophos)
- Trojan.
Spy-6432 (ClamAV) - W32/Dropper.
GLO (FPROT) - TrojanDropper:
Win32/Small. OT (MS(OneCare)) - Trojan.
Popuper. 5128 (DrWeb) - Win32/Spy.
BZub. JI trojan (Nod32) - Trojan.
Spy. Bzub. NDG (BitDef7) - Win32:
BZub-FX [Trj] (AVAST) - Trojan-Spy.
Win32. BZub (Ikarus) - PSW.
Generic4. MDF (AVG) - TR/Spy.
BZub. AC (AVIRA) - Infostealer.
Bzup (NAV) - W32/BZub.
WY (Norman) - Trojan.
Spy. Win32. BZub. ji (Rising) - TROJ_DROPPER.
CKI (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей