Trojan-Spy.Win32. Zbot.ikh

Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 67072 байта.

Инсталляция

Троянец копирует свой исполняемый файл в системный каталог Windows:

%System%\twex.exe

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

 [HKLM\software\microsoft\windows nt\currentversion\winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,
"

Деструктивная активность

Троянец внедряет свой код во все запущенные в системе процессы и устанавливает перехватчики на следующие API-функции:

NtCreateFile
NtQueryDirectoryInformation
LdrLoadDll
LdrGetProcedureAddress
NtCreateThread
EndDialog
DestroyWindow
TranslateMessage
GetClipboardData

Используя эти перехватчики, троян следит за работой программы WebMoney Keeper. В момент, когда программа производит авторизацию на сайте, троян извлекает следующую информацию:

* номер интернет-кошелька(WMID);

* пароль;

* режим входа(стандартный/enum-storage);

* версию программы WebMoney Keeper;

* текущий баланс на счету пользователя.

Также троян ищет в системе окна с именами классов:

SunAwtDialog

javax.swing.Jframe

и имеющие следующие заголовки:

Вход в систему

Синхронизация с Банком

Если такие окна найдены, троянец ищет в папке с программой, которой принадлежат эти окна следующие файлы:

prv_key.pfx
sign.cer
*.jks
*.db3
*.key
*.cnf

И упаковывает их в архив:

%Temp%\interpro.cab

Также троян извлекает данные, находящиеся в буфере обмена при вставке в окна данной программы и перехватывает ввод пользователя с клавиатуры (keylogger).

Троянец перехватывает HTTP запросы со следующих адресов:

https://ibank*.ru/*
https://bc.nsk.*.ru/*
https://www.faktura.ru/enter.jsp?site=

Из перехваченных данных извлекаются все значения полей web-форм.

Собранную информацию троян отсылает на сайт злоумышленника.