Trojan-Spy.Win32.Zbot.ikh

Instalacja

Trojan ten kopiuje swój plik wykonywalny do katalogu systemowego Windows:

%System%\twex.exe

W celu zapewnienia sobie automatycznego uruchamiania podczas restartu systemu trojan dodaje odsyłacz do swojego pliku wykonywalnego w rejestrze systemowym:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,"

Funkcje szkodnika

Trojan wstrzykuje swój kod do wszystkich procesów uruchomionych na zaatakowanej maszynie i instaluje mechanizmy przechwytujące poniższe funkcje API:

NtCreateFile
NtQueryDirectoryInformation
LdrLoadDll
LdrGetProcedureAddress
NtCreateThread
EndDialog
DestroyWindow
TranslateMessage
GetClipboardData

Trojan wykorzystuje te mechanizmy do śledzenia aktywności aplikacji WebMoney Keeper. Gdy program ten wykorzystywany jest do autoryzowania użytkownika w serwisie płatniczym, trojan przechwytuje następujące informacje:

• Purse number (WMID);
• Password;
• Mode (standard/e-num storage)
• WebMoney Keeper version;
• User’s current balance

Trojan ten przeszukuje również system w celu znalezienia okien następujących klas:

SunAwtDialog
javax.swing.Jframe

które posiadają poniższe nagłówki:

Âoîä â nenoaió
[Vkhod v sistemy – “Enter system”] 

Neío?îíeçaöey
n Áaíeîi [Sinkhronizatsiya s
Bankom – “Synchronization with bank”]

Jeżeli trojan znajdzie takie okna, przeszukuje folder zawierający program, który należy do takich okien, w celu znalezienia następujących plików:

prv_key.pfx
sign.cer
*.jks
*.db3
*.key
*.cnf

Następnie pakuje je w archiwum:

%Temp%\interpro.cab

Program przechwytuje również dane ze schowka, gdy są kopiowane do okna, oraz dane wprowadzane za pośrednictwem klawiatury.

Trojan przechwytuje zapytania HTTP z poniższych adresów:

https://ibank*.ru/*
https://bc.nsk.*.ru/*
https://www.faktura.ru/enter.jsp?site=

Trojan wydobywa wszystkie wartości pól formularza z przechwyconych danych wykorzystując poniższe maski:

*(select
*(option  selected
*(input *value="

z kodu strony internetowej.

Przechwycone dane wysyła na stronę zdalnego szkodliwego użytkownika:

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Użyj Menedżera zadań w celu zakończenia procesu szkodliwego programu.
2. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
3. Zmodyfikuj następującą wartość klucza rejestru systemowego na poniższą wartość:

   [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "userinit" = "C:\WINDOWS\system32\userinit.exe, "

4. Uruchom ponownie komputer.
5. Usuń następujący plik:

    
   %System%\twex.exe
   

6. Usuń katalog tymczasowy (%Temp%).
7. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).