Trojan-Spy.Win32. BZub.ji
Троянская программа-шпион, предназначенная для кражи конфиденциальной информации пользователя.
Инсталляция
Вирус инсталлируется в систему при помощи других вредоносных программ.
После запуска троянец выполняет следующие действия на зараженном компьютере:
* Добавляет класс объекта в системный реестр:
[HKLM\Software\Classes\AppID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
[HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
[HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}\InprocServer32]
"<путь до троянской программы>"
* Регистрирует BНО (Browser Helper Objects):
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{36DBC179-A19F-48F2-B16A-6A3E19B42A87}] * Изменяет настройки браузера Internet Explorer:
[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"IEXPLORE.EXE" = "IEXPLORE.EXE:*:Enabled:Internet"
[HKCU]\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
[HKCU\Software\Internet Explorer\Main]
"Enable Browser Extensions" = "yes" * Создает ключ с параметрами установки:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\load] Деструктивная активность
При запуске Internet Explorer троянский компонент запускается автоматически. Вредоносная программа осуществляет поиск закэшированных паролей и в дальнейшем сохраняет вводимые пользователем пароли в файле «form.txt».
Также вирус создает файл с именем «info.txt», куда помещает следующую информацию:
* имя компьютера
* IP-адрес
* тип и версия ОС
* имя учетной записи пользователя
* данные из почтового клиента Outlook Ученые доказали: чтение нашего канала продлевает жизнь!
Ладно, не доказали. Но мы работаем над этим