Rootkit.Win64.Banker.a

Вредоносная программа, предназначенная для удаления компонентов защитного ПО Gbuster plugin для Internet Explorer.

Технические детали

Вредоносная программа, предназначенная для удаления компонентов защитного ПО Gbuster plugin для Internet Explorer. Выполнена в виде драйвера ядра NT (kernel mode driver). Работает на 64-битных версиях ОС Windows. Имеет размер 25600 байт.

Инсталляция

Исполняемый файл вредоносной программы находится в каталоге драйверов Windows со следующим именем:
%windir%\SysWOW64\drivers\plusdriver64.sys

Автоматический запуск руткита при каждой загрузке Windows обеспечивает служба с именем:
driverusbplus

Также инсталлятор руткита отключает проверку цифровых подписей для модулей режима ядра в текущей загрузочной конфигурации, выполняя следующую команду:

bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS

А так же включает режим разрешающий загрузку драйверов, подписанных тестовыми сертификатами, выполняя следующую команду.

bcdedit.exe -set TESTSIGNING ON

Таким образом руткит обходит проверку цифровой подписи драйверов режима ядра.


Деструктивная активность

При запуске руткит пытается удалить следующие файлы:

\Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\gbiehAbn.dll
\Device\Harddisk0\Partition2\Program Files\GbPlugin\gbiehAbn.dll
\Device\Harddisk0\Partition2\Program Files (x86)\GbPlugin\gbiehAbn.dll

\Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\abn.gpc
\Device\Harddisk0\Partition2\Program Files (x86)\GbPlugin\abn.gpc
\Device\Harddisk0\Partition2\Program Files\GbPlugin\abn.gpc

\Device\Harddisk0\Partition2\windows\Downloaded Program Files\ABN.inf
\Device\Harddisk0\Partition2\windows\Downloaded Program Files\ABN.gpc
\Device\Harddisk0\Partition2\windows\Downloaded Program Files\gbiehabn.dll
\Device\Harddisk0\Partition2\windows\Downloaded Program Files\GbPluginABN.inf

\Device\Harddisk0\Partition2\windows\Downloaded Program Files\gbpdist.dll
\Device\Harddisk0\Partition2\windows\Downloaded Program Files\gbiehAbn.dll

\Device\Harddisk0\Partition2\windows\system32\drivers\gbpkm.sys

\Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\gbieh.gmd
\Device\Harddisk0\Partition2\Program Files\GbPlugin\gbieh.gmd
\Device\Harddisk0\Partition2\Program Files (x86)\GbPlugin\gbieh.gmd

\Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\bb.gpc
\Device\Harddisk0\Partition2\Program Files\GbPlugin\bb.gpc
\Device\Harddisk0\Partition2\Program Files (x86)\bb.gpc

\Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\gbieh.dll
\Device\Harddisk0\Partition2\Program Files\GbPlugin\gbieh.dll
\Device\Harddisk0\Partition2\Program Files (x86)\gbieh.dll

\Device\Harddisk0\Partition2\windows\Downloaded Program Files\gbieh.gmd

\Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\Sv.exe
\Device\Harddisk0\Partition2\Program Files\GbPlugin\Sv.exe
\Device\Harddisk0\Partition2\Program Files (x86)\GbPlugin\Sv.exe

\Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\gbpdist.dll
\Device\Harddisk0\Partition2\Program Files\GbPlugin\gbpdist.dll
\Device\Harddisk0\Partition2\Program Files (x86)\gbpdist.dll

А так же следующие ключи реестра:

\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\GbPluginAbn
\Registry\Machine\Software\Classes\CLSID\{2E3C3651-B19C-4DD9-A979-901EC3E930AF}
\Registry\Machine\Software\Classes\CLSID\{3F888695-9B41-4B29-9F44-6B560E464A16}
\Registry\Machine\Software\Classes\CLSID\{A3717295-941D-416F-9384-ED1736729F1C}
\Registry\Machine\Software\Classes\CLSID\{AF45043F-819C-47CC-9B37-94DBE50A6E63}
\Registry\Machine\Software\Classes\TypeLib\{04978612-A774-406D-AF1B-F44E2838D72A}
\Registry\Machine\Software\Classes\TypeLib\{9CA261C7-D518-4987-B434-10A1B243C8B8}
\Registry\Machine\Software\Classes\TypeLib\{AD764BE6-87A7-46A1-8C55-A712D079E749}

\Registry\Machine\System\CurrentControlSet\Services\GbpKm
\Registry\Machine\System\ControlSet001\Services\GbpKm

Также руткит добавляет в системный файл «%system%\drivers\etc\hosts» следующие строки

216.***.133.236         www2.bancobrasil.com.br
216.***.133.237         aapj.bb.com.br
127.0.0.1               localhost
Hosts doWindows
Exemplo:
127.0.0.1 www.microsoft.com.br

Таким образом перенаправляя пользователя на фишинговые страницы при работе с веб-сайтами банка Banco do Brasil.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить файл:
    %windir%\SysWOW64\drivers\plusdriver64.sys
  2. Удалить службу с именем
    driverusbplus
  3. Изменить модифицированный файл «%System%\drivers\etc\hosts», используя любое стандартное приложение (например, «Блокнот» — «Notepad»). Требуется удалить все добавленные троянцем строки. Оригинальный файл hosts выглядит следующим образом:
  4.         # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
    #
    # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
    #
    # Этот файл содержит сопоставления IP-адресов именам узлов.
    # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
    # находиться в первом столбце, за ним должно следовать соответствующее имя.
    # IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
    #
    # Кроме того, в некоторых строках могут быть вставлены комментарии 
    # (такие, как эта строка), они должны следовать за именем узла и отделяться
    # от него символом '#'.
    #
    # Например:
    #
    #      102.54.94.97     rhino.acme.com          # исходный сервер
    #       38.25.63.10     x.acme.com              # узел клиента x
    
            127.0.0.1       localhost
    
    
  5. Восстановить параметры загрузки, выполнив следующие команды:
    bcdedit /deletevalue loadoptions
    bcdedit.exe -set TESTSIGNING OFF