Trojan-Spy.Win32. BZub.ji

Троянская программа-шпион, предназначенная для кражи конфиденциальной информации пользователя.

Троянская программа-шпион, предназначенная для кражи конфиденциальной информации пользователя. Является библиотекой Windows (PE DLL-файл). Имеет размер 67776 байт. Ничем не упакована. Написана на Visual C++.

Инсталляция

Вирус инсталлируется в систему при помощи других вредоносных программ.

После запуска троянец выполняет следующие действия на зараженном компьютере:

* Добавляет класс объекта в системный реестр:


      [HKLM\Software\Classes\AppID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
      [HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}] 
      [HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}\InprocServer32]
      "<путь до троянской программы>"

* Регистрирует BНО (Browser Helper Objects):


      [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
      {36DBC179-A19F-48F2-B16A-6A3E19B42A87}]

* Изменяет настройки браузера Internet Explorer:

      [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
         StandardProfile\AuthorizedApplications\List]
      "IEXPLORE.EXE" = "IEXPLORE.EXE:*:Enabled:Internet"
      [HKCU]\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
        {36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
      [HKCU\Software\Internet Explorer\Main]
      "Enable Browser Extensions" = "yes"

* Создает ключ с параметрами установки:


      [HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\load]

Деструктивная активность

При запуске Internet Explorer троянский компонент запускается автоматически. Вредоносная программа осуществляет поиск закэшированных паролей и в дальнейшем сохраняет вводимые пользователем пароли в файле «form.txt».

Также вирус создает файл с именем «info.txt», куда помещает следующую информацию:


    * имя компьютера
    * IP-адрес
    * тип и версия ОС
    * имя учетной записи пользователя
    * данные из почтового клиента Outlook