Security Lab

Backdoor.Win32. Shiz.ez

Backdoor.Win32. Shiz.ez

Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл).

Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 98304 байт. Упакован неизвестным упаковщиком, распакованный размер ~1300 к.б.

Инсталляция

Копирует свой исполняемый файл как: 

%System%\<rnd>.EXE
где <rnd> - случайная последовательность прописных букв и цифр, например 5jYcZS0.exe

Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Userinit" = “C:\WINDOWS\system32\userinit.exe %System%\<rnd>.exe”

name="doc3">

Деструктивная активность

Ищет в системе следующие процессы и внедряет в них свой код: 

iexplore.exe
opera.exe
java.exe
javaw.exe
explorer.exe|
sclient.exe
intpro.exe
mnp.exe
services.exe
Внедренный код перехватывает сетевой траффик этих процессов, при помощи перехвата следующих функций: 
GetAddrInfo
inet_addr
send
gethostbyname
wsasend
так же троян следит за вводом с клавиатуры и собирает информацию копируемую в буфер обмена.

Так же троян перехватывает функцию: 

CryptEncrypt
для слежения за шифруемыми данными и функцию 
GetWindowTextA
для перехвата данных в окнах программ с которыми работает пользователь.

Ворует банковские реквизиты пользователей следующих систем онлайн банкинга: 

Inter-PRO Client
РФК Клиент-Web
Webmoney
FAKTURA.ru
RAIFFEISEN
Так же троян собирает историю посещения сайтов из браузеров: 
Opera
Mozilla Firefox
Собранную информацию отсылает на сайт злоумышленника. 
http://candri***.com/gate.php
Троян добавляет в систему некорректные сетевые маршруты для блокирования доступа к большому списку IP адресов.

Пытается вывести из строя следующие антивирусы: 

Kaspersky
AVG
Avira
CA HIPS
Создает на зараженной системе SOCKS-прокси сервер на случайном TCP порте и уведомляет об этом сайт злоумышленников: 
http://candri***.com/socks.php
Так же троян может выводить из строя операционную систему записывая мусор в устройство 
\\.\PhysicalDrive0
завершая системные процессы: 
smss.exe
csrss.exe
lsass.exe
а так же удаляя критические для загрузки ОС файлы: 
ntldr
ntdetect.com
находящиеся на системном диске.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!