Backdoor.Win32. Shiz.ez

Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл).

Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 98304 байт. Упакован неизвестным упаковщиком, распакованный размер ~1300 к.б.

Инсталляция

Копирует свой исполняемый файл как:

%System%\<rnd>.EXE
где <rnd> - случайная последовательность прописных букв и цифр, например 5jYcZS0.exe

Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Userinit" = “C:\WINDOWS\system32\userinit.exe %System%\<rnd>.exe”

Деструктивная активность

Ищет в системе следующие процессы и внедряет в них свой код:

iexplore.exe
opera.exe
java.exe
javaw.exe
explorer.exe|
sclient.exe
intpro.exe
mnp.exe
services.exe
Внедренный код перехватывает сетевой траффик этих процессов, при помощи перехвата следующих функций:
GetAddrInfo
inet_addr
send
gethostbyname
wsasend
так же троян следит за вводом с клавиатуры и собирает информацию копируемую в буфер обмена.

Так же троян перехватывает функцию:

CryptEncrypt
для слежения за шифруемыми данными и функцию
GetWindowTextA 
для перехвата данных в окнах программ с которыми работает пользователь.

Ворует банковские реквизиты пользователей следующих систем онлайн банкинга:

Inter-PRO Client
РФК Клиент-Web
Webmoney
FAKTURA.ru
RAIFFEISEN
Так же троян собирает историю посещения сайтов из браузеров:
Opera
Mozilla Firefox
Собранную информацию отсылает на сайт злоумышленника.
http://candri***.com/gate.php
Троян добавляет в систему некорректные сетевые маршруты для блокирования доступа к большому списку IP адресов.

Пытается вывести из строя следующие антивирусы:

Kaspersky
AVG
Avira
CA HIPS
Создает на зараженной системе SOCKS-прокси сервер на случайном TCP порте и уведомляет об этом сайт злоумышленников:
http://candri***.com/socks.php
Так же троян может выводить из строя операционную систему записывая мусор в устройство
\\.\PhysicalDrive0
завершая системные процессы:
smss.exe
csrss.exe
lsass.exe
а так же удаляя критические для загрузки ОС файлы:
ntldr
ntdetect.com
находящиеся на системном диске.