Trojan-Spy.Win32.Zbot.ikh


Описание:
Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Размер - 67072 bytes.

Trojan-Spy.Win32.Zbot.ikh («Л К») также известен как:

  • Trojan: Generic PWS.y (McAfee)
  • Mal/Generic-A (Sophos)
  • Trojan.Packed.443 (DrWeb)
  • Win32/Kryptik.FH trojan (Nod32)
  • MemScan:Trojan.Spy.Zeus.C (BitDef7)
  • Win32:Zbot-AXP [Trj] (AVAST)
  • TR/Spy.ZBot.ikh (AVIRA)
  • Trojan Horse (NAV)

Инсталляция:

  • Троянец копирует свой исполняемый файл в системный каталог Windows - %System%\twex.exe.
  • Для автоматического запуска с системой троян добавляет ссылку на свой исполняемый файл в ключ реестра:
    • [HKLM\software\microsoft\windows nt\currentversion\winlogon]
    • "userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe, "
  • Троян следит за работой программы WebMoney Keeper. В момент авторизации на сайте, троян извлекает следующую информацию:
    • номер интернет-кошелька (WMID);
    • пароль;
    • режим входа (стандартный/enum-storage);
    • версию программы WebMoney Keeper;
    • текущий баланс на счету пользователя.
  • Еще троян ищет в системе окна с именами классов:
    • SunAwtDialog;
    • javax.swing.Jframe.
  • Найдя такие окна, троян ищет в папке с программой, которой принадлежат эти окна следующие файлы:
    • prv_key.pfx;
    • sign.cer;
    • *.jks;
    • *.db3;
    • *.key;
    • *.cnf.
  • После чего упаковывает их в архив - %Temp%\interpro.cab
  • Троян может извлекать данные, находящиеся в буфере обмена при вставке в окна данной программы и перехватывает ввод пользователя с клавиатуры (keylogger).
  • Умеет и перехватывает HTTP запросы со следующих адресов:
    • https://ibank*.ru/*
    • https://bc.nsk.*.ru/*
    • https://www.faktura.ru/enter.jsp?site=
  • Из перехваченных данных извлекаются все значения полей web-форм, имена которых выбираются по следующим маскам:
    • *<select
    • *<option  selected
    • *<input *value="
  • После чего вся собранная информация отсылается трояном на сайт злоумышленника.

Методы борьбы:
Метод первый.
Скачиваем и устанавливаем программу Malware Anti-Malware или SpyWare Doctor. Сканируем, находим, удаляем, перезагружаем, и радуемся жизни.

Метод второй.
  1. Завершаем вредоносный процесс (можно определить с помощью программы taskmanager).
  2. Удаляем оригинальный файл трояна ("%System%\twex.exe, C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\twex.exe,").
  3. Изменяем значение параметра в ключе системного реестра на следующее:
    • HKLM\software\microsoft\windows nt\currentversion\winlogon
      "userinit" = "C:\WINDOWS\system32\userinit.exe, "
  4. Очищаем содержимое папки "Temp"
  5. Перезагружаем компьютер.
  6. Проверяем удален ли файл - %System%\twex.exe. Если нет, то удаляем его. Перезагружаемся. Радуемся.