Trojan-Spy.Win32. Zbot.ajvn

Программа-шпион, предназначенная для сбора информации о зараженной системе. Является приложением Windows (PE-EXE файл)

Программа-шпион, предназначенная для сбора информации о зараженной системе. Является приложением Windows (PE-EXE файл). Имеет размер 181248 байт. Упакована UPX. Распакованный размер – около 199 КБ. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в следующий файл:

%System%\sdra64.exe
Для автоматического запуска созданной копии при каждом следующем старте системы троянец изменяет значение ключа системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"userinit" = "%System%\userinit.exe,%System%\sdra64.exe,"
Таким образом, копия троянца будет запускаться даже при загрузке компьютера в "безопасном режиме".

После этого троянец завершает свою работу.


Деструктивная активность

Троянец представляет собой программу-шпион, предназначенную для похищения конфиденциальных данных пользователя.

После запуска троянец внедряет в адресное пространство процесса "SVCHOST.EXE" исполняемый код, реализующий следующий функционал. Устанавливается соединение с хостом:

91.***.80
Далее с вышеуказанного хоста загружается файл, который сохраняется в системе как >pre<%System%\lowsec\user.ds.lll (На момент создания описания файл не загружался)

Загруженный файл содержит список сайтов, исходящий трафик к которым будет отслеживаться троянцем. Предположительно, данный список содержит сайты организаций, предоставляющих услуги онлайн банкинга.

Собранная троянцем информация отправляется на вышеупомянутый хост. Кроме того, троянец ведет лог своей работы, сохраняя его в файл:

%System%\lowsec\user.ds