Trojan-Spy.Win32.Zbot.ikh

Технические детали

Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 67072 байта.

Инсталляция

Троянец копирует свой исполняемый файл в системный каталог Windows:

%System%\twex.exe

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

 [HKLM\software\microsoft\windows nt\currentversion\winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe, "

Деструктивная активность

Троянец внедряет свой код во все запущенные в системе процессы и устанавливает перехватчики на следующие API-функции:

NtCreateFile
NtQueryDirectoryInformation
LdrLoadDll
LdrGetProcedureAddress
NtCreateThread
EndDialog
DestroyWindow
TranslateMessage
GetClipboardData

Используя эти перехватчики, троян следит за работой программы WebMoney Keeper. В момент, когда программа производит авторизацию на сайте, троян извлекает следующую информацию:

• номер интернет-кошелька(WMID);
• пароль;
• режим входа(стандартный/enum-storage);
• версию программы WebMoney Keeper;
• текущий баланс на счету пользователя.

Также троян ищет в системе окна с именами классов:

SunAwtDialog
javax.swing.Jframe

и имеющие следующие заголовки:

Вход в систему
Синхронизация с Банком

Если такие окна найдены, троянец ищет в папке с программой, которой принадлежат эти окна следующие файлы:

prv_key.pfx
sign.cer
*.jks
*.db3
*.key
*.cnf

И упаковывает их в архив:

%Temp%\interpro.cab

Также троян извлекает данные, находящиеся в буфере обмена при вставке в окна данной программы и перехватывает ввод пользователя с клавиатуры (keylogger).

Троянец перехватывает HTTP запросы со следующих адресов:

https://ibank*.ru/*
https://bc.nsk.*.ru/*
https://www.faktura.ru/enter.jsp?site=

Из перехваченных данных извлекаются все значения полей web-форм, имена которых выбираются по следующим маскам:

*<select
*<option  selected
*<input *value="

из кода веб-страниц.

Собранную информацию троян отсылает на сайт злоумышленника.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи <Диспетчера задач> завершить вредоносный процесс.
2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Изменить значение параметра в ключе системного реестра на следующее:

    [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   "userinit" = "C:\WINDOWS\system32\userinit.exe, "

4. Перезагрузить компьютер.
5. Удалить файл:

   %System%\twex.exe

6. Очистить содержимое папки %Temp%.
7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).