Trojan.Zbot.Win32.51086

Trojan.Zbot.Win32.51086 - Шкідлива програма, що  краде логіни й паролі, а також виконує команди з віддаленого сервера.
 Являє собою файл, що виконується, Windows PE (EXE), ррозмір шкідливого програмного забезпечення - ~100 Кбайт, не впакований, написаний на Microsoft Visukl C++ 6.0.

Методи розповсюдження

розповсюджується через e-mail, у вигляді вкладень у повідомлення електронної пошти,  листи часто виглядають як повідомлення  про одержання (або неможливость одержання) посилки на  пошті. Користувачеві рекомендують прочитати подробиці в прикріпленому файлі, при запуску якого активується троянська програма.

Впровадження в систему

Після запуску троянська програма копіює своє тіло в папку:

% APPDATA%\<випадкове ім'я>\< випадкове ім'я >.exe

Також  копії тіла можуть бути присутнім у папках:

<drive:>\documents and settings\default user\
<drive:>\users\default\
<drive:>\documents and settings\<user name>\
 <drive:>\documents and settings\<user name>\\local settings\temp\7zip*\bot.exe

Для автозапуску, при кожному старті системи, троян додає ключ реєстру:

[HKCU\Software\Microsoft\Windows\Currentversion\Run]
 {< GUID >} = %APPDATA%\<випадкове ім'я>\< випадкове ім'я >.exe

Наприклад:

[HKCU\Software\Microsoft\Windows\Currentversion\Run]
 =”C:\Documents and Settings\User\Application Data\Xiili\yracr.exe" 

Маскування в системі

Троянська програма впроваджує частину свого коду в адресний простір усіх запущених процесів,  у першу чергу інфікуються процеси  "explorer.exe "," iexplore.exe " а потім усі інші. Процес ін'єкції застосовується, щоб сховати  присутність троянця в системі й одержати доступ до мережі Internet під виглядом легальної програми.

Також троян знижує настроювання зон безпеки Internet Explorer, для чого змінює гілки реєстру:

[HKCU\Software\Microsoft\Windows\Currentversion\Internet Settings\Zones\0]
  1406 = dword:00000000
  1609 = dword:00000000
 …..

[HKCU\Software\Microsoft\Windows\Currentversion\Internet Settings\Zones\4]
   1406 = dword:00000000
   1609 = dword:00000000

і знижує настроювання безпеки  Firefox:

• Відключає очистку Cookies.
• Відключає  відображення попереджуючих повідомлень при перегляді змішаного вмісту й незахищених веб-сторінок .
• Відключає відображення попереджуючих повідомлень при відправленні даних на незахищених сторінках.

Функціональні дії

Троянська програма завантажує  файл конфігурації з віддаленого сервера  moriartifeed.com . Цей файл містить посилання для оновлення троянської програми, список сайтів з яких необхідно викрадати логіни й паролі, посилання для завантаження іншого шкідливого забезпечення й т.п.

 Для крадіжки логінів, що вводяться, і паролів троян перехоплює  кілька  функцій Windows API.

Троян краде:

• Логіни й паролі, що вводяться в браузерах Internet Explorer і Firefox.
• Облікові дані FTP  (IP, порт, ім'я користувача й пароль) 
• Облікові даних, що зберігаються в програвачі Macromedia Flash
• Сертифікати 
• Файли cookie
• Кеш паролів 
• Троян також записує натискання клавіш і робить знімки єкрану  в зараженій системі.

Вкрадені дані будуть відправлені зловмисникам за допомогою  FTP або електронної пошти.

Троянська програма має функціонал Backdoor і відчиняє зловмиснику дистанційний доступ до керування комп'ютером.
Троянська програма  дозволяє:

• перезавантажити / виключити заражений комп'ютер
• знайти / видалити файл
• виконувати довільну програму
• блокувати / розблокувати HTTP адреси
• встановити домашню сторінку  Internet Explorer

рекомендації з лікування

Для видалення шкідливого програмного забезпечення необхідно виконати повну перевірку інфікованого комп'ютера антивірусом Zillya з новими антивірусними базами.