Trojan.Win32.Jorik.Carberp.hb

Технические детали

Программа-шпион, предназначенная для похищения конфиденциальных данных пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 233867 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 242 КБ. Написана на C++.

Инсталляция

После активации троянец снимает установленные перехватчики в System Service Descriptor Table (SSDT) .

Далее копирует свое тело в каталог автозагрузки текущего пользователя Windows:

%Documents and Settings%\%Current User%\Start Menu\Programs\Startup\igfxtray.exe  

Таким образом, копия троянца будет автоматически запускаться при каждом следующем старте системы.

Время и дата создания файла устанавливается как у файла:

%System%\smss.exe

Для скрытия своего исполняемого файла, троянец перехватывает функцию:

NtQueryDirectoryFile

Деструктивная активность

Троянец запускает копию системного файла:

%WinDir%\explorer.exe

и внедряет в его адресное пространство вредоносный код. Если внедрить вредоносный код не удалось, ищет окно с именем класса "Shell_TrayWnd" (данный класс окна соответствует процессу "explorer.exe") или получает список всех процессов и сравнивает хеши имен процессов с хешом процесса "explorer.exe", прописанным в теле троянца.

Внедренный код, в свою очередь, запускает несколько экземпляров процесса "svchost.exe", внедряя в его адресное пространство вредоносный код реализующий описанный ниже функционал. Оригинальный файл троянца при этом удаляется.

Для внедрения вредоносного кода в адресное пространство запускаемых процессов в системе устанавливает перехватчик на следующую функцию:

NtResumeThread

Троянец держит открытый хэндл на исполняемый файл:

%Documents and Settings%\%Current User%\Start Menu\Programs\Startup\igfxtray.exe  

из процесса "svchost.exe", в который был инжектирован вредоносный код. Троянец соединяется со следующим управляющим сервером злоумышленника:

wwwii.ru

Для противодействия антивирусным продуктам и бот-сетям конкурентов троянец загружает с сервера следующие плагины:

wwwii.ru/cfg/stopav.psd  wwwii.ru/cfg/miniav.psd  

Загруженные плагины сохраняются под следующими именами:

%Documents and Settings%\%Current User%\%ApplicationData%\igfxtray.dat  %Documents and Settings%\%Current User%\%ApplicationData%\igfxtrayhp.dat  

Также с управляющего сервера загружаются дополнительные файлы:

wwwii.ru/get/key.html  wwwii.ru/<rnd1>.<rnd2>   

где <rnd1> - случайная последовательность букв, например "qlfuhdisozhblucrrm" или "yojxmoixqogbprreocmbv". <rnd2>- одно из следующих расширений:

.phtml  .php3  .phtm  .inc  .7z  .cgi  .pl  .doc  .rtf  .tpl  .rar  

Загруженные файлы сохраняются под именем "fi.dat":

%Documents and Settings%\%Current User%\%ApplicationData%\KYL\fi.dat

На момент создания описания дополнительные модули не загружались. При помощи вредоносного кода внедренного в адресное пространство копий процесса"svchost.exe"троянец может выполнять следующий деструктивный функционал:

• обновлять свой оригинальный файл;
• перехватывать весь исходящий трафик с целью похищения конфиденциальных данных пользователя, устанавливая системные перехватчики на следующие функции:

  InternetCloseHandle  InternetQueryDataAvailable  InternetReadFile  InternetReadFileExA  InternetReadFileExW  HttpSendRequestA  HttpSendRequestW  HttpSendRequestExA  HttpSendRequestExW  

• собирать информацию о зараженной системе:
  • имя пользователя и имя компьютера;
  • полную информацию об установленном процессоре;
  • профиль оборудования;
  • версию ОС;
  • серийный номер тома системного диска;
  • IP адрес;
  • физический адрес.
• похищать cookies из браузеров:

  Microsoft Internet Explorer  Opera  Firefox  

• похищать конфиденциальные данные пользователя если ресурс, с которым работает пользователь содержит следующие строки:

  *bsi.dll*  *paypal.com*  *ibc*  

• делать снимки экрана, во время работы с Интернет-банкингом, используя свою внутреннюю библиотеку. При этом готовый снимок сжимается в формате "JPEG" и сохраняется в каталоге временных файлов текущего пользователя Windows под именем временного файла:

  %Temp%\<tmp>.tmp

  где <tmp>-случайная цифробуквенная последовательность. После чего файл сохраняется под именем "screen.jpeg":

  %Temp%\screen.jpeg

• вести лог клавиатурного ввода;
• похищает данные из платежной системы Cyberplat;
• похищает реквизиты пользователей от систем Интернет-банкинга, торговых платформ и ДБО (Дистанционное банковское обслуживание):

  РайффайзенБанк  Faktura  iBank  PSB  BSS  cyberplat  BlackwoodPRO  FinamDirect  GrayBox  MbtPRO  Laser  LightSpeed  LTGroup  Mbt  ScotTrader  SaxoTrader  

  также похищает комплект информации, состоящий из следующих ключевых файлов:

  self.cer  secrets.key  cert.pfx  sign.cer  prv_key.pfx  

  Похищенная информация сохраняется в файле:

  %Temp%\<tmp>.tmp

  где <tmp>-случайная цифробуквенная последовательность. после чего записывается в файл:

  %Temp%\Information.txt

  файл отчета имеет следующий формат:

  Program: <имя_программы>  Wnd Name: <имя_активного_окна>  Server: <адрес>:<порт>  Password: <пароль>  Certificate: <сертификат>  ClipBuffer: <история_вводимых_пользователем_символов>  

  Используя функции из библиотеки "cabinet.dll", троянец создает cab–архив, с именем

  %Temp%\CAB<tmp>.tmp

  где <tmp>-случайная цифробуквенная последовательность. в котором сохраняет файлы с похищенными данными. Затем троянец зашифровывает файл и отправляет на сервер злоумышленника. После отправки данных файл удаляется.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Перезагрузить компьютер в "безопасном режиме" (в самом начале загрузки нажать и удерживать клавишу "F8", затем выбрать пункт "Safe Mode" в меню загрузки Windows).
2. Удалить файлы:

   Documents and Settings%\%Current User%\Start Menu\Programs\Startup\igfxtray.exe  %Documents and Settings%\%Current User%\%ApplicationData%\igfxtray.dat  %Documents and Settings%\%Current User%\%ApplicationData%\igfxtrayhp.dat  %Documents and Settings%\%Current User%\%ApplicationData%\KYL\fi.dat  

3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.