Security Lab

Backdoor.Berbew.H

Backdoor.Berbew.H

Программа пытается украсть кэшированные пароли и может отображать поддельное окно для сбора конфиденциальной информации.

Название трояна: Backdoor.Berbew.H

Сервер: 2 файла со случайными именами в виде %System%\<8 random characters>.exe и %System%\<8 random characters>.dll.

Размер: 65,747 bytes, 6,145 bytes, упакован с помощью MPPEC.

Описание: Программа пытается украсть кэшированные пароли и может отображать поддельное окно для сбора конфиденциальной информации.

Украденная информация передается к Web серверу атакующего (at-neftbank.ru) в HTTP query strings.

  • Добавляет значение:

    "(Default)" = "<8 random characters>.dll"
    "ThreadingModel" = "Apartment"

    к ключу реестра:

    HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32

  • Добавляет значение:

    "Web Event Logger" = "{79FEACFF-FFCE-815E-A900-316290B5B738}"

    к ключу реестра:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

  • Добавляет значение:

    "QueenKarton" = 0xb

    к ключу реестра:

    HKEY_CURRENT_USER\Software\Microsoft

  • Изменяет значение:

    "1601" = "0"

    к ключу реестра:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\5


  • Изменяет значение:

    "GlobalUserOffline" = "0"

    к ключу реестра:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

  • Добавляет значение:

    "BrowseNewProcess" = "yes"

    к ключу реестра:

    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас