Технические детали
Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 98304 байт. Упакован неизвестным упаковщиком, распакованный размер ~1300 к.б.
Инсталляция
Копирует свой исполняемый файл как:
%System%/rnd.EXE
где rnd - случайная последовательность прописных букв и цифр, например 5jYcZS0.exe.
Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon]
"Userinit" = “C:/WINDOWS/system32/userinit.exe %System%/rnd.exe”
Деструктивная активность
Ищет в системе следующие процессы и внедряет в них свой код:
iexplore.exe
opera.exe
java.exe
javaw.exe
explorer.exe
sclient.exe
intpro.exe
mnp.exe
services.exe
Внедренный код перехватывает сетевой траффик этих процессов, при помощи перехвата следующих функций:
GetAddrInfo
inet_addr
send
gethostbyname
wsasend
так же троян следит за вводом с клавиатуры и собирает информацию копируемую в буфер обмена.
Так же троян перехватывает функцию:
CryptEncrypt
для слежения за шифруемыми данными и функцию
GetWindowTextA
для перехвата данных в окнах программ с которыми работает пользователь.
Ворует банковские реквизиты пользователей следующих систем онлайн банкинга:
Inter-PRO Client
РФК Клиент-Web
Webmoney
FAKTURA.ru
RAIFFEISEN
Так же троян собирает историю посещения сайтов из браузеров:
Opera
Mozilla Firefox
Собранную информацию отсылает на сайт злоумышленника:
http://candri***.com/gate.php
Троян добавляет в систему некорректные сетевые маршруты для блокирования доступа к большому списку IP адресов.
Пытается вывести из строя следующие антивирусы:
Kaspersky
AVG
Avira
CA HIPS
Создает на зараженной системе SOCKS-прокси сервер на случайном TCP порте и уведомляет об этом сайт злоумышленников:
http://candri***.com/socks.php
Так же троян может выводить из строя операционную систему записывая мусор в устройство:
//./PhysicalDrive0
завершая системные процессы:
smss.exe
csrss.exe
lsass.exe
а так же удаляя критические для загрузки ОС файлы:
ntldr
ntdetect.com
находящиеся на системном диске.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить вредоносный процесс.
- Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Установить следующее значение параметра в ключе системного реестра:
[HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon]
"Userinit" = “C:/WINDOWS/system32/userinit.exe”
- Удалить файл:
%System%/rbd.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|