Технические детали
Программа-шпион, предназначенная для похищения конфиденциальных данных пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 233867 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 242 КБ. Написана на C++.
Инсталляция
После активации троянец снимает установленные перехватчики в System Service Descriptor Table (SSDT).
Далее копирует свое тело в каталог автозагрузки текущего пользователя Windows:
%Documents and Settings%/%Current User%/Start Menu/Programs/Startup/igfxtray.exe
Таким образом, копия троянца будет автоматически запускаться при каждом следующем старте системы.
Время и дата создания файла устанавливается как у файла:
%System%/smss.exe
Для скрытия своего исполняемого файла, троянец перехватывает функцию:
NtQueryDirectoryFile
Деструктивная активность
Троянец запускает копию системного файла:
%WinDir%/explorer.exe
и внедряет в его адресное пространство вредоносный код. Если внедрить вредоносный код не удалось, ищет окно с именем класса "Shell_TrayWnd" (данный класс окна соответствует процессу "explorer.exe") или получает список всех процессов и сравнивает хеши имен процессов с хешом процесса "explorer.exe", прописанным в теле троянца.
Внедренный код, в свою очередь, запускает несколько экземпляров процесса "svchost.exe", внедряя в его адресное пространство вредоносный код реализующий описанный ниже функционал. Оригинальный файл троянца при этом удаляется.
Для внедрения вредоносного кода в адресное пространство запускаемых процессов в системе устанавливает перехватчик на следующую функцию:
NtResumeThread
Троянец держит открытый хэндл на исполняемый файл:
%Documents and Settings%/%Current User%/Start Menu/Programs/Startup/igfxtray.exe
из процесса "svchost.exe", в который был инжектирован вредоносный код. Троянец соединяется со следующим управляющим сервером злоумышленника:
wwwii.ru
Для противодействия антивирусным продуктам и бот-сетям конкурентов троянец загружает с сервера следующие плагины:
wwwii.ru/cfg/stopav.psd
wwwii.ru/cfg/miniav.psd
Загруженные плагины сохраняются под следующими именами:
%Documents and Settings%/%Current User%/%ApplicationData%/igfxtray.dat
%Documents and Settings%/%Current User%/%ApplicationData%/igfxtrayhp.dat
Также с управляющего сервера загружаются дополнительные файлы:
wwwii.ru/get/key.html
wwwii.ru/rnd1.rnd2
где rnd1 - случайная последовательность букв, например "qlfuhdisozhblucrrm" или "yojxmoixqogbprreocmbv".
rnd2- одно из следующих расширений:
.phtml
.php3
.phtm
.inc
.7z
.cgi
.pl
.doc
.rtf
.tpl
.rar
Загруженные файлы сохраняются под именем "fi.dat":
%Documents and Settings%/%Current User%/%ApplicationData%/KYL/fi.dat
На момент создания описания дополнительные модули не загружались.
При помощи вредоносного кода внедренного в адресное пространство копий процесса"svchost.exe"троянец может выполнять следующий деструктивный функционал:
обновлять свой оригинальный файл;
перехватывать весь исходящий трафик с целью похищения конфиденциальных данных пользователя, устанавливая системные перехватчики на следующие функции:
InternetCloseHandle
InternetQueryDataAvailable
InternetReadFile
InternetReadFileExA
InternetReadFileExW
HttpSendRequestA
HttpSendRequestW
HttpSendRequestExA
HttpSendRequestExW
собирать информацию о зараженной системе:
имя пользователя и имя компьютера;
полную информацию об установленном процессоре;
профиль оборудования;
версию ОС;
серийный номер тома системного диска;
IP адрес;
физический адрес;
похищать cookies из браузеров:
Microsoft Internet Explorer
Opera
Firefox
похищать конфиденциальные данные пользователя если ресурс, с которым работает пользователь содержит следующие строки:
*bsi.dll*
*paypal.com*
*ibc*
делать снимки экрана, во время работы с Интернет-банкингом, используя свою внутреннюю библиотеку. При этом готовый снимок сжимается в формате "JPEG" и сохраняется в каталоге временных файлов текущего пользователя Windows под именем временного файла:
%Temp%/tmp.tmp
где tmp-случайная цифробуквенная последовательность. После чего файл сохраняется под именем "screen.jpeg":
%Temp%/screen.jpeg
вести лог клавиатурного ввода;
похищает данные из платежной системы Cyberplat;
похищает реквизиты пользователей от систем Интернет-банкинга, торговых платформ и ДБО (Дистанционное банковское обслуживание):
РайффайзенБанк
Faktura
iBank
PSB
BSS
cyberplat
BlackwoodPRO
FinamDirect
GrayBox
MbtPRO
Laser
LightSpeed
LTGroup
Mbt
ScotTrader
SaxoTrader
также похищает комплект информации, состоящий из следующих ключевых файлов:
self.cer
secrets.key
cert.pfx
sign.cer
prv_key.pfx
Похищенная информация сохраняется в файле:
%Temp%/tmp.tmp
где tmp-случайная цифробуквенная последовательность. после чего записывается в файл:
%Temp%/Information.txt
файл отчета имеет следующий формат:
Program: имя_программы
Wnd Name: имя_активного_окна
Server: адрес:порт
Password: пароль
Certificate: сертификат
ClipBuffer: история_вводимых_пользователем_символов
Используя функции из библиотеки "cabinet.dll", троянец создает cab–архив, с именем
%Temp%/CABtmp.tmp
где tmp-случайная цифробуквенная последовательность. в котором сохраняет файлы с похищенными данными. Затем троянец зашифровывает файл и отправляет на сервер злоумышленника. После отправки данных файл удаляется.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Перезагрузить компьютер в "безопасном режиме" (в самом начале загрузки нажать и удерживать клавишу "F8", затем выбрать пункт "Safe Mode" в меню загрузки Windows).
- Удалить файлы:
Documents and Settings%/%Current User%/Start Menu/Programs/Startup/igfxtray.exe
%Documents and Settings%/%Current User%/%ApplicationData%/igfxtray.dat
%Documents and Settings%/%Current User%/%ApplicationData%/igfxtrayhp.dat
%Documents and Settings%/%Current User%/%ApplicationData%/KYLfi.dat
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
