Меню

Укр Рус

Trojan.Zbot.Win32.51088

Виды вредоносных программ:
Trojan.Zbot.Win32.51088

Trojan.Zbot.Win32.51088 - Вредоносная программа  ворующая логины и пароли, а также исполняющая команды с удалённого сервера.
Представляет собой исполняемый файл Windows PE (EXE), рразмер вредоносного программного обеспечения - ~98 Кбайт, не упакован,  написан на Microsoft Visukl C++ 6.0.

Методы распространения

распространяется через e-mail ,в виде вложений в сообщения электронной почты,  письма часто выглядят как извещение  о получении (или невозможности получения) посылки на  почте. Пользователю рекомендуют прочитать подробности в прикреплённом файле, при запуске которого активируется троянская программа.

Внедрение в систему

После запуска троянская программа копирует своё тело в папку:

%APPDATA%\<случайное имя>\< случайное имя >.exe

Также  копии тела могут присутствовать в папках:

<drive:>\documents and settings\default user\
<drive:>\users\default\
<drive:>\documents and settings\<user name>\
<drive:>\documents and settings\<user name>\\local settings\temp\7zip*\bot.exe

Для автозапуска, при каждом старте системы, троян добавляет ключ реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
{<
GUID >} = %APPDATA%\<случайное имя>\< случайное имя >.exe

Например:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 =”C:\Documents and Settings\User\Application Data\Xiili\yracr.exe"
 

Маскировка в системе

Троянская программа внедряет часть своего кода в адресное пространство всех запущенных процессов,  в первую очередь инфицируются процессы  "explorer.exe "," iexplore.exe " а потом все остальные. Процесс инъекции применяется, чтобы скрыть  присутствие троянца в системе и получить доступ к сети Internet под видом легальной программы.

Также троян понижает настройки зон безопасности Internet Explorer, для чего изменяет ветви реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
  1406 = dword:00000000
  1609 = dword:00000000
…..

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4]
   1406 = dword:00000000
   1609 = dword:00000000

и понижает настройки безопасности  Firefox:

  • Отключает очистку Cookies.
  • Отключает  отображение предупреждающих сообщений при просмотре смешанного содержимого и незащищенных веб-страниц .
  • Отключает отображение предупреждающих сообщений при отправке данных на незащищенных страницах.

 

Функциональные действия

Троянская программа загружает  файл конфигурации с удаленного сервера  moriartifeed.com . Этот файл содержит ссылки для обновления троянской программы, список сайтов с которых необходимо похищать логины и пароли, ссылки для загрузки другого вредоносного обеспечения и т.п.

Для кражи вводимых логинов и паролей троян перехватывает несколько  функций  Windows API.

Троян похищает:

  • Логины и пароли, вводимые в браузерах Internet Explorer и Firefox.
  • Учетные данные FTP  (IP, порт, имя пользователя и пароль) 
  • Учетные данных, хранящихся в проигрывателе Macromedia Flash
  • Сертификаты 
  • Файлы cookie
  • Кэш паролей 
  • Троян также записывает нажатия клавиш и делает скриншоты  в зараженной системе.

Украденные данные будут отправлены злоумышленникам при помощи  FTP или электронной почты.

Троянская программа имеет функционал Backdoor и открывает злоумышленнику удаленный доступ к управлению компьютером.
Троянская программа  позволяет:

  • перезагрузить / выключить зараженный компьютер
  • найти / удалить файл
  • выполнять произвольную программу
  • блокировать / разблокировать HTTP адрес
  • установить домашнюю страницу  Internet Explorer

 

рекомендации по лечению

Для удаления вредоносного программного обеспечения необходимо выполнить полную проверку инфицированного компьютера антивирусом Zillya с новыми антивирусными базами.