Прочее компьютерное
чо за вирус TROJAN.PWS.Banker1.3931??? не могу найти описание на оф сайтах
Давлетбаев Ильдар
94 863
Кража паролей, кейлогер и прочее.. . Гадит при подключении через интернет банкинг.
Описание
Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл) . Размер - 138550 байт. Упакована при помощи UPX. Распакованный размер — около 138 КБ.
Инсталляция
После запуска троян создает копию своего файла со случайным именем и запускает ее на исполнение:
%AppData%\<rnd1>\<rnd2>.exe
<rnd1> и <rnd2> - наборы из случайный букв латинского алфавита, например, "Evazas" или "rahu";
После запуска на исполнение копии - удаляет свое тело и завершает свое выполнение. Для удаления своего оригинального файла создает и запускает на исполнение файл командного интерпретатора со случайным именем:
Деструктивная активность
Копия трояна выполняет следующие действия:
Внедряет свой код во все пользовательские процессы;
Для хранения своей служебной информации создает файл и ключ реестра:
%AppData%\<rnd4>\<rnd5>
<rnd4> - набор из случайных букв латинского алфавита, например, "Oqys";
<rnd5> - набор из случайных букв латинского алфавита с расширением, также состоящим из случайных букв, например, "uzamy.noe" или "ogezt.uwa".
[HKCU\SOFRWARE\Microsoft\<rnd6>]
"rnd7" = "<зашифрованная служебная информация троянца>"
Создает ключ реестра
[HKLM\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication]
"Name" = "<rnd2>"
"ID" = dword:3e35b794
Для своего последующего автоматического запуска, добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{<rnd8>}" = "%AppData%\<rnd1>\<rnd2>.exe"
<rnd8> - уникальный идентификатор компьютера пользователя, состоящий из букв латинского алфавита и цифр, например, "3D4D6505-03ED-B397-F0G9-17F5C6139349" или "FAE16613-CCD0-C826-79B6-31A9405FB515". При внедрении троянца в один из следующих процессов:
explorer.exe
rdpclip.exe
ctfmon.exe
wscntfy.exe
taskeng.exe
taskhost.exe
dwm.exe
Отправляет запрос на сервер злоумышленника с целью получения конфигурационного файла в зашифрованном виде для дальнейшей своей работы:
host1***ster.com
Устанавливает следующие значения ключей системного реестра:
[HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
"Enabled" = "0"
[HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
"EnabledV8" = "0"
[HKCU\SoftwareSoftware\Microsoft\Internet Explorer\Privacy]
"CleanCookies" = "0"
Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл) . Размер - 138550 байт. Упакована при помощи UPX. Распакованный размер — около 138 КБ.
Инсталляция
После запуска троян создает копию своего файла со случайным именем и запускает ее на исполнение:
%AppData%\<rnd1>\<rnd2>.exe
<rnd1> и <rnd2> - наборы из случайный букв латинского алфавита, например, "Evazas" или "rahu";
После запуска на исполнение копии - удаляет свое тело и завершает свое выполнение. Для удаления своего оригинального файла создает и запускает на исполнение файл командного интерпретатора со случайным именем:
Деструктивная активность
Копия трояна выполняет следующие действия:
Внедряет свой код во все пользовательские процессы;
Для хранения своей служебной информации создает файл и ключ реестра:
%AppData%\<rnd4>\<rnd5>
<rnd4> - набор из случайных букв латинского алфавита, например, "Oqys";
<rnd5> - набор из случайных букв латинского алфавита с расширением, также состоящим из случайных букв, например, "uzamy.noe" или "ogezt.uwa".
[HKCU\SOFRWARE\Microsoft\<rnd6>]
"rnd7" = "<зашифрованная служебная информация троянца>"
Создает ключ реестра
[HKLM\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication]
"Name" = "<rnd2>"
"ID" = dword:3e35b794
Для своего последующего автоматического запуска, добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{<rnd8>}" = "%AppData%\<rnd1>\<rnd2>.exe"
<rnd8> - уникальный идентификатор компьютера пользователя, состоящий из букв латинского алфавита и цифр, например, "3D4D6505-03ED-B397-F0G9-17F5C6139349" или "FAE16613-CCD0-C826-79B6-31A9405FB515". При внедрении троянца в один из следующих процессов:
explorer.exe
rdpclip.exe
ctfmon.exe
wscntfy.exe
taskeng.exe
taskhost.exe
dwm.exe
Отправляет запрос на сервер злоумышленника с целью получения конфигурационного файла в зашифрованном виде для дальнейшей своей работы:
host1***ster.com
Устанавливает следующие значения ключей системного реестра:
[HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
"Enabled" = "0"
[HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
"EnabledV8" = "0"
[HKCU\SoftwareSoftware\Microsoft\Internet Explorer\Privacy]
"CleanCookies" = "0"
Александр Тюмин
30 669
Похожие вопросы
- DDos - атака ...где я могу найти материал про него сайты проги... прошу помочь мне
- Вирус Trojan.Winlock
- Что за вирус Trojan.Kryptik!1.A6D6 (classic) ?
- Помогте пожалуйста убрать мне этот вирус, ни где не могу найти как удалить...
- что сделать после вируса Trojan.Winlock?
- Не могу найти и бесплатно скачать хороший фотошоп. Либо там вирусы, либо "отправте смс"! HELP!
- Нигле не могу найти в Интернете описание ноутбука HP pavilion 15-acoo3ur. Помогите найти
- В чем прикол ? есть чистый образ виндовс с оф сайта а есть сборка, для чего делают эти сборки
- Выскочил ХР антивирус, нашел 28 вирусов и предлагает купить себя, не могу никак его закрыть. А так стоит у меня аваст
- Помогите мне! у меня на компе наверное какойто вирус, но мой антивирус его не удаляет, подробное описание в нутри