Trojan-Spy.Win32. BZub.ji

Троянская программа-шпион, предназначенная для кражи конфиденциальной информации пользователя. Является библиотекой Windows (PE DLL-файл). Имеет размер 67776 байт. Ничем не упакована. Написана на Visual C++.

Инсталляция

Вирус инсталлируется в систему при помощи других вредоносных программ.

После запуска троянец выполняет следующие действия на зараженном компьютере:

* Добавляет класс объекта в системный реестр:

  
        [HKLM\Software\Classes\AppID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
        [HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}] 
        [HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}\InprocServer32]
        "<путь до троянской программы>"
  

* Регистрирует BНО (Browser Helper Objects):

  
        [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
        {36DBC179-A19F-48F2-B16A-6A3E19B42A87}]

* Изменяет настройки браузера Internet Explorer:

        [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
           StandardProfile\AuthorizedApplications\List]
        "IEXPLORE.EXE" = "IEXPLORE.EXE:*:Enabled:Internet"
        [HKCU]\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
          {36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
        [HKCU\Software\Internet Explorer\Main]
        "Enable Browser Extensions" = "yes"

* Создает ключ с параметрами установки:

  
        [HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\load]

Деструктивная активность

При запуске Internet Explorer троянский компонент запускается автоматически. Вредоносная программа осуществляет поиск закэшированных паролей и в дальнейшем сохраняет вводимые пользователем пароли в файле «form.txt».

Также вирус создает файл с именем «info.txt», куда помещает следующую информацию:

  
      * имя компьютера
      * IP-адрес
      * тип и версия ОС
      * имя учетной записи пользователя
      * данные из почтового клиента Outlook