Security Lab

Trojan-Spy.Win32. BZub.ar

Trojan-Spy.Win32. BZub.ar

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации.

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации. Является библиотекой Windows DLL. Имеет размер около 50 КБ. Упакована с помощью UPX. Распакованный размер — около 141 КБ.

Инсталляция

Устанавливается в систему при помощи других троянских программ.

Троянец инсталлируется как Browser Helper Object и следит за действиями пользователя в Интернете во время просмотра сайтов в браузере Microsoft Internet Explorer.

Деструктивная активность

Троянская программа похищает значения из полей ввода на странице www.postbank.de. Собранная информация отсылается в запросе на сайт злоумышленника вместе с URL страницы, на которой она находилась.

Также троянец сканирует параметры учетных записей Microsoft Outlook — читает из подключей ключа реестра [HKCU\Software\Microsoft\Internet Account Manager\Accounts] значения следующих записей:

  
  Mail User NaMe
  Mail Password2
  

Данные сведения отправляются на электронную почту злоумышленника.

Дополнительно злоумышленник получает такую информацию, как название установленной ОС и IP-адрес зараженного компьютера.

Троянская программа обладает функцией загрузки файлов из Интернета (по скачанным с сайта злоумышленника ссылкам) с последующим запуском их на исполнение.

Кроме того, троян, получив необходимую команду, может удалить все файлы из папок «%WinDir%» и «%Program Files%», а также из корневой папки диска С:, а после завершить работу всей системы.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!