Trojan-Spy.Win32. BZub.ji

Троянская программа-шпион, предназначенная для кражи конфиденциальной информации пользователя.

Троянская программа-шпион, предназначенная для кражи конфиденциальной информации пользователя. Является библиотекой Windows (PE DLL-файл). Имеет размер 67776 байт. Ничем не упакована. Написана на Visual C++.

Инсталляция

Вирус инсталлируется в систему при помощи других вредоносных программ.

После запуска троянец выполняет следующие действия на зараженном компьютере:

* Добавляет класс объекта в системный реестр:

 
       [HKLM\Software\Classes\AppID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
       [HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}] 
       [HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}\InprocServer32]
       "<путь до троянской программы>"
 

* Регистрирует BНО (Browser Helper Objects):

 
       [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
       {36DBC179-A19F-48F2-B16A-6A3E19B42A87}]

* Изменяет настройки браузера Internet Explorer:

       [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
          StandardProfile\AuthorizedApplications\List]
       "IEXPLORE.EXE" = "IEXPLORE.EXE:*:Enabled:Internet"
       [HKCU]\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
         {36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
       [HKCU\Software\Internet Explorer\Main]
       "Enable Browser Extensions" = "yes"

* Создает ключ с параметрами установки:

 
       [HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\load]

Деструктивная активность

При запуске Internet Explorer троянский компонент запускается автоматически. Вредоносная программа осуществляет поиск закэшированных паролей и в дальнейшем сохраняет вводимые пользователем пароли в файле «form.txt».

Также вирус создает файл с именем «info.txt», куда помещает следующую информацию:

 
     * имя компьютера
     * IP-адрес
     * тип и версия ОС
     * имя учетной записи пользователя
     * данные из почтового клиента Outlook
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.