Троянская программа-шпион, предназначенная для кражи конфиденциальной информации пользователя.
Инсталляция
Вирус инсталлируется в систему при помощи других вредоносных программ.
После запуска троянец выполняет следующие действия на зараженном компьютере:
* Добавляет класс объекта в системный реестр:
[HKLM\Software\Classes\AppID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}] [HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}] [HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}\InprocServer32] "<путь до троянской программы>"
* Регистрирует BНО (Browser Helper Objects):
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
* Изменяет настройки браузера Internet Explorer:
[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List] "IEXPLORE.EXE" = "IEXPLORE.EXE:*:Enabled:Internet" [HKCU]\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\ {36DBC179-A19F-48F2-B16A-6A3E19B42A87}] [HKCU\Software\Internet Explorer\Main] "Enable Browser Extensions" = "yes"
* Создает ключ с параметрами установки:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\load]
Деструктивная активность
При запуске Internet Explorer троянский компонент запускается автоматически. Вредоносная программа осуществляет поиск закэшированных паролей и в дальнейшем сохраняет вводимые пользователем пароли в файле «form.txt».
Также вирус создает файл с именем «info.txt», куда помещает следующую информацию:
* имя компьютера * IP-адрес * тип и версия ОС * имя учетной записи пользователя * данные из почтового клиента Outlook
Собираем и анализируем опыт профессионалов ИБ