Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл).
Инсталляция
Троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\twex.exe
Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\software\microsoft\windows nt\currentversion\winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,
"
Деструктивная активность
Троянец внедряет свой код во все запущенные в системе процессы и устанавливает перехватчики на следующие API-функции:
NtCreateFile
NtQueryDirectoryInformation
LdrLoadDll
LdrGetProcedureAddress
NtCreateThread
EndDialog
DestroyWindow
TranslateMessage
GetClipboardData
Используя эти перехватчики, троян следит за работой программы WebMoney Keeper. В момент, когда программа производит авторизацию на сайте, троян извлекает следующую информацию:
* номер интернет-кошелька(WMID);
* пароль;
* режим входа(стандартный/enum-storage);
* версию программы WebMoney Keeper;
* текущий баланс на счету пользователя.
Также троян ищет в системе окна с именами классов:
SunAwtDialog
javax.swing.Jframe
и имеющие следующие заголовки:
Вход в систему
Синхронизация с Банком
Если такие окна найдены, троянец ищет в папке с программой, которой принадлежат эти окна следующие файлы:
prv_key.pfx
sign.cer
*.jks
*.db3
*.key
*.cnf
И упаковывает их в архив:
%Temp%\interpro.cab
Также троян извлекает данные, находящиеся в буфере обмена при вставке в окна данной программы и перехватывает ввод пользователя с клавиатуры (keylogger).
Троянец перехватывает HTTP запросы со следующих адресов:
https://ibank*.ru/*
https://bc.nsk.*.ru/*
https://www.faktura.ru/enter.jsp?site=
Из перехваченных данных извлекаются все значения полей web-форм.
Собранную информацию троян отсылает на сайт злоумышленника.