Trojan.Zbot.Win32.51088
Trojan.Zbot.Win32.51088 - Шкідлива програма, що краде логіни й паролі, а також виконує команди з віддаленого сервера.
Являє собою файл, що виконується, Windows PE (EXE), ррозмір шкідливого програмного забезпечення - ~98 Кбайт, не впакований, написаний на Microsoft Visukl C++ 6.0.
Методи розповсюдження
розповсюджується через e-mail, у вигляді вкладень у повідомлення електронної пошти, листи часто виглядають як повідомлення про одержання (або неможливость одержання) посилки на пошті. Користувачеві рекомендують прочитати подробиці в прикріпленому файлі, при запуску якого активується троянська програма.
Впровадження в систему
Після запуску троянська програма копіює своє тіло в папку:
% APPDATA%\<випадкове ім'я>\< випадкове ім'я >.exe
Також копії тіла можуть бути присутнім у папках:
<drive:>\documents and settings\default user\
<drive:>\users\default\
<drive:>\documents and settings\<user name>\
<drive:>\documents and settings\<user name>\\local settings\temp\7zip*\bot.exe
Для автозапуску, при кожному старті системи, троян додає ключ реєстру:
[HKCU\Software\Microsoft\Windows\Currentversion\Run]
{< GUID >} = %APPDATA%\<випадкове ім'я>\< випадкове ім'я >.exe
Наприклад:
[HKCU\Software\Microsoft\Windows\Currentversion\Run]
=”C:\Documents and Settings\User\Application Data\Xiili\yracr.exe"
Маскування в системі
Троянська програма впроваджує частину свого коду в адресний простір усіх запущених процесів, у першу чергу інфікуються процеси "explorer.exe "," iexplore.exe " а потім усі інші. Процес ін'єкції застосовується, щоб сховати присутність троянця в системі й одержати доступ до мережі Internet під виглядом легальної програми.
Також троян знижує настроювання зон безпеки Internet Explorer, для чого змінює гілки реєстру:
[HKCU\Software\Microsoft\Windows\Currentversion\Internet Settings\Zones\0]
1406 = dword:00000000
1609 = dword:00000000
…..
[HKCU\Software\Microsoft\Windows\Currentversion\Internet Settings\Zones\4]
1406 = dword:00000000
1609 = dword:00000000
і знижує настроювання безпеки Firefox:
- Відключає очистку Cookies.
- Відключає відображення попереджуючих повідомлень при перегляді змішаного вмісту й незахищених веб-сторінок .
- Відключає відображення попереджуючих повідомлень при відправленні даних на незахищених сторінках.
Функціональні дії
Троянська програма завантажує файл конфігурації з віддаленого сервера moriartifeed.com . Цей файл містить посилання для оновлення троянської програми, список сайтів з яких необхідно викрадати логіни й паролі, посилання для завантаження іншого шкідливого забезпечення й т.п.
Для крадіжки логінів, що вводяться, і паролів троян перехоплює кілька функцій Windows API.
Троян краде:
- Логіни й паролі, що вводяться в браузерах Internet Explorer і Firefox.
- Облікові дані FTP (IP, порт, ім'я користувача й пароль)
- Облікові даних, що зберігаються в програвачі Macromedia Flash
- Сертифікати
- Файли cookie
- Кеш паролів
- Троян також записує натискання клавіш і робить знімки єкрану в зараженій системі.
Вкрадені дані будуть відправлені зловмисникам за допомогою FTP або електронної пошти.
Троянська програма має функціонал Backdoor і відчиняє зловмиснику дистанційний доступ до керування комп'ютером.
Троянська програма дозволяє:
- перезавантажити / виключити заражений комп'ютер
- знайти / видалити файл
- виконувати довільну програму
- блокувати / розблокувати HTTP адреси
- встановити домашню сторінку Internet Explorer
рекомендації з лікування
Для видалення шкідливого програмного забезпечення необхідно виконати повну перевірку інфікованого комп'ютера антивірусом Zillya з новими антивірусними базами.