Backdoor.Berbew.H
Backdoor.Berbew.H
Alexander Antipov
Программа пытается украсть кэшированные пароли и может отображать поддельное окно для сбора конфиденциальной информации.
Название трояна: Backdoor.Berbew.H
Сервер: 2 файла со случайными именами в виде %System%\<8 random characters>.exe и %System%\<8 random characters>.dll.
Размер: 65,747 bytes, 6,145 bytes, упакован с помощью MPPEC.
Описание: Программа пытается украсть кэшированные пароли и может отображать поддельное окно для сбора конфиденциальной информации.
Украденная информация передается к Web серверу атакующего (at-neftbank.ru) в HTTP query strings.
- Добавляет значение:
"(Default)" = "<8 random characters>.dll"
"ThreadingModel" = "Apartment"
к ключу реестра:
HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
- Добавляет значение:
"Web Event Logger" = "{79FEACFF-FFCE-815E-A900-316290B5B738}"
к ключу реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
- Добавляет значение:
"QueenKarton" = 0xb
к ключу реестра:
HKEY_CURRENT_USER\Software\Microsoft
- Изменяет значение:
"1601" = "0"
к ключу реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\5
- Изменяет значение:
"GlobalUserOffline" = "0"
к ключу реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- Добавляет значение:
"BrowseNewProcess" = "yes"
к ключу реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess
Наш канал горячее, чем поверхность Солнца!
5778 К? Пф! У нас градус знаний зашкаливает!