Trojan.Zbot.Win32.51086

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Trojan.Zbot.Win32.51086 - Вредоносная программа ворующая логины и пароли, а также исполняющая команды с удалённого сервера.
Представляет собой исполняемый файл Windows PE (EXE), рразмер вредоносного программного обеспечения - ~100 Кбайт, не упакован, написан на Microsoft Visukl C++ 6.0.

Методы распространения

распространяется через e-mail ,в виде вложений в сообщения электронной почты, письма часто выглядят как извещение о получении (или невозможности получения) посылки на почте. Пользователю рекомендуют прочитать подробности в прикреплённом файле, при запуске которого активируется троянская программа.

Внедрение в систему

После запуска троянская программа копирует своё тело в папку:

%APPDATA%\<случайное имя>\< случайное имя >.exe

Также копии тела могут присутствовать в папках:

<drive:>\documents and settings\default user\
<drive:>\users\default\
<drive:>\documents and settings\<user name>\
<drive:>\documents and settings\<user name>\\local settings\temp\7zip*\bot.exe

Для автозапуска, при каждом старте системы, троян добавляет ключ реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
{< GUID >} = %APPDATA%\<случайное имя>\< случайное имя >.exe

Например:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
=”C:\Documents and Settings\User\Application Data\Xiili\yracr.exe"

Маскировка в системе

Троянская программа внедряет часть своего кода в адресное пространство всех запущенных процессов, в первую очередь инфицируются процессы "explorer.exe "," iexplore.exe " а потом все остальные. Процесс инъекции применяется, чтобы скрыть присутствие троянца в системе и получить доступ к сети Internet под видом легальной программы.

Также троян понижает настройки зон безопасности Internet Explorer, для чего изменяет ветви реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
1406 = dword:00000000
1609 = dword:00000000
…..

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4]
1406 = dword:00000000
1609 = dword:00000000

и понижает настройки безопасности Firefox:

Отключает очистку Cookies.
Отключает отображение предупреждающих сообщений при просмотре смешанного содержимого и незащищенных веб-страниц .
Отключает отображение предупреждающих сообщений при отправке данных на незащищенных страницах.

Функциональные действия

Троянская программа загружает файл конфигурации с удаленного сервера moriartifeed.com . Этот файл содержит ссылки для обновления троянской программы, список сайтов с которых необходимо похищать логины и пароли, ссылки для загрузки другого вредоносного обеспечения и т.п.

Для кражи вводимых логинов и паролей троян перехватывает несколько функций Windows API.

Троян похищает:

Логины и пароли, вводимые в браузерах Internet Explorer и Firefox.
Учетные данные FTP (IP, порт, имя пользователя и пароль)
Учетные данных, хранящихся в проигрывателе Macromedia Flash
Сертификаты
Файлы cookie
Кэш паролей
Троян также записывает нажатия клавиш и делает скриншоты в зараженной системе.

Украденные данные будут отправлены злоумышленникам при помощи FTP или электронной почты.

Троянская программа имеет функционал Backdoor и открывает злоумышленнику удаленный доступ к управлению компьютером.
Троянская программа позволяет:

перезагрузить / выключить зараженный компьютер
найти / удалить файл
выполнять произвольную программу
блокировать / разблокировать HTTP адрес
установить домашнюю страницу Internet Explorer

рекомендации по лечению

Для удаления вредоносного программного обеспечения необходимо выполнить полную проверку инфицированного компьютера антивирусом Zillya с новыми антивирусными базами.