Trojan.Zbot.Win32.51088
Trojan.Zbot.Win32.51088 - Вредоносная программа ворующая логины и пароли, а также исполняющая команды с удалённого сервера.
Представляет собой исполняемый файл Windows PE (EXE), рразмер вредоносного программного обеспечения - ~98 Кбайт, не упакован, написан на Microsoft Visukl C++ 6.0.
Методы распространения
распространяется через e-mail ,в виде вложений в сообщения электронной почты, письма часто выглядят как извещение о получении (или невозможности получения) посылки на почте. Пользователю рекомендуют прочитать подробности в прикреплённом файле, при запуске которого активируется троянская программа.
Внедрение в систему
После запуска троянская программа копирует своё тело в папку:
%APPDATA%\<случайное имя>\< случайное имя >.exe
Также копии тела могут присутствовать в папках:
<drive:>\documents and settings\default user\
<drive:>\users\default\
<drive:>\documents and settings\<user name>\
<drive:>\documents and settings\<user name>\\local settings\temp\7zip*\bot.exe
Для автозапуска, при каждом старте системы, троян добавляет ключ реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
{< GUID >} = %APPDATA%\<случайное имя>\< случайное имя >.exe
Например:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
=”C:\Documents and Settings\User\Application Data\Xiili\yracr.exe"
Маскировка в системе
Троянская программа внедряет часть своего кода в адресное пространство всех запущенных процессов, в первую очередь инфицируются процессы "explorer.exe "," iexplore.exe " а потом все остальные. Процесс инъекции применяется, чтобы скрыть присутствие троянца в системе и получить доступ к сети Internet под видом легальной программы.
Также троян понижает настройки зон безопасности Internet Explorer, для чего изменяет ветви реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
1406 = dword:00000000
1609 = dword:00000000
…..
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4]
1406 = dword:00000000
1609 = dword:00000000
и понижает настройки безопасности Firefox:
- Отключает очистку Cookies.
- Отключает отображение предупреждающих сообщений при просмотре смешанного содержимого и незащищенных веб-страниц .
- Отключает отображение предупреждающих сообщений при отправке данных на незащищенных страницах.
Функциональные действия
Троянская программа загружает файл конфигурации с удаленного сервера moriartifeed.com . Этот файл содержит ссылки для обновления троянской программы, список сайтов с которых необходимо похищать логины и пароли, ссылки для загрузки другого вредоносного обеспечения и т.п.
Для кражи вводимых логинов и паролей троян перехватывает несколько функций Windows API.
Троян похищает:
- Логины и пароли, вводимые в браузерах Internet Explorer и Firefox.
- Учетные данные FTP (IP, порт, имя пользователя и пароль)
- Учетные данных, хранящихся в проигрывателе Macromedia Flash
- Сертификаты
- Файлы cookie
- Кэш паролей
- Троян также записывает нажатия клавиш и делает скриншоты в зараженной системе.
Украденные данные будут отправлены злоумышленникам при помощи FTP или электронной почты.
Троянская программа имеет функционал Backdoor и открывает злоумышленнику удаленный доступ к управлению компьютером.
Троянская программа позволяет:
- перезагрузить / выключить зараженный компьютер
- найти / удалить файл
- выполнять произвольную программу
- блокировать / разблокировать HTTP адрес
- установить домашнюю страницу Internet Explorer
рекомендации по лечению
Для удаления вредоносного программного обеспечения необходимо выполнить полную проверку инфицированного компьютера антивирусом Zillya с новыми антивирусными базами.