Trojan-Banker. Win32.IntPro.a

Вредоносная программа, предназначенная для кражи конфиденциальной пользовательской информации программы Inter-PRO Client.

Вредоносная программа, предназначенная для кражи конфиденциальной пользовательской информации программы Inter-PRO Client. Является приложением Windows (PE-EXE файл).

Инсталляция

При запуске программа извлекает из себя и копирует в системный каталог Windows следующие файлы:

%System%\sfcfiles.dll
%System%\drivers\sfc.sys
Программа создает следующие ключи реестра, в которых в зашифрованном виде хранятся настройки программы:
HKLM\SOFTWARE\Settings\CoreSettings
HKLM\SOFTWARE\Settings\CryptoHash
HKLM\SOFTWARE\Settings\DigitalProductId
HKLM\SOFTWARE\Settings\DriveSettings
HKLM\SOFTWARE\Settings\ErrorControl
HKLM\SOFTWARE\Settings\kernel32

Распространение

Для распостранения по сети программа использует уязвимость MS06-040. Также программа пытается подобрать пароли администратора для соседних компьютеров.

Для распостаранения программа также копирует себя на съемные диски, создавая на них файлы autorun.inf.


name="doc3">

Деструктивная активность

При успешном запуске, программа скачивает обновления по адресу:

http://local-port-connect.com/ortew/page.php
Находясь в адресном пространстве процесса “intpro.exe”, программа перехватывает конфиденциальные данные пользователя, используемые в программном комплексе Inter-PRO Client, и отсылает их на следующий электронный адрес злоумышленника, указанный в теле вредоносной программы:
http://local-port-connect.com/ori/page.php

Также программа содержит в себе драйвер sfc.sys, в задачу которого входит скрытие файлов и ключей реестра вредоносной программы.