Trojan-Spy.Win32. Shiz.au

Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя

Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 78848 байта.

Инсталляция

Троянец копирует свой исполняемый файл в системный каталог Windows:

%System%\6GNFOSV.EXE

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
"load" = "%System%\6GNFOSv.exe”

Деструктивная активность

Модифицирует файл

%System%\drivers\hosts
таким образом, чтобы невозможно было зайти на сайты многих антивирусных компаний.

Ворует пользовательскую информацию, относящуюся к системам интернет-платежей Webmoney, FAKTURA, IBANK, INIST, Raiffeisen, BS-Defender,Сбербанк.

Также троян извлекает данные, находящиеся в буфере обмена и перехватывает ввод пользователя с клавиатуры (keylogger).

Копирует данные о посещенных страницах, перехватывает отправляемые данные.

Для этого троянец внедряет свой код в services.exe и устанавливает перехватчики на следующие API-функции:

CreateFileW
CryptEncrypt
GetFileAttributesExW
send
WSASend
GetWindowTextA
vb_pfx_import (sks2xyz.dll)
RCN_R50Buffer(FilialRCon.dll)

Также троян ищет в системе запущенные процессы

iexplore.exe
opera.exe
java.exe
javaw.exe

В случае нахождения устанавливает устанавливает перехватчики на следующие API-функции:

Getaddrinfo
gethostbyname
inet_add
PeekMessageW

Собранную информацию троян отсылает на сайт злоумышленника.

http://jpjigol.cn/knok.php?id=