Rootkit.Win64.Banker.a
Вредоносная программа, предназначенная для удаления компонентов защитного ПО Gbuster plugin для Internet Explorer.
Технические детали
Вредоносная программа, предназначенная для удаления компонентов защитного ПО Gbuster plugin для Internet Explorer. Выполнена в виде драйвера ядра NT (kernel mode driver). Работает на 64-битных версиях ОС Windows. Имеет размер 25600 байт.
Инсталляция
Исполняемый файл вредоносной программы находится в каталоге драйверов Windows со следующим именем:
%windir%\SysWOW64\drivers\plusdriver64.sys
Автоматический запуск руткита при каждой загрузке Windows обеспечивает служба с именем:
driverusbplus
Также инсталлятор руткита отключает проверку цифровых подписей для модулей режима ядра в текущей загрузочной конфигурации, выполняя следующую команду:
bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS
А так же включает режим разрешающий загрузку драйверов, подписанных тестовыми сертификатами, выполняя следующую команду.
bcdedit.exe -set TESTSIGNING ON
Таким образом руткит обходит проверку цифровой подписи драйверов режима ядра.
Деструктивная активность
При запуске руткит пытается удалить следующие файлы:
\Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\gbiehAbn.dll
\Device\Harddisk0\Partition2\Program Files\GbPlugin\gbiehAbn.dll
\Device\Harddisk0\Partition2\Program Files (x86)\GbPlugin\gbiehAbn.dll
\Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\abn.gpc
\Device\Harddisk0\Partition2\Program Files (x86)\GbPlugin\abn.gpc
\Device\Harddisk0\Partition2\Program Files\GbPlugin\abn.gpc
\Device\Harddisk0\Partition2\windows\Downloaded Program Files\ABN.inf
\Device\Harddisk0\Partition2\windows\Downloaded Program Files\ABN.gpc
\Device\Harddisk0\Partition2\windows\Downloaded Program Files\gbiehabn.dll
\Device\Harddisk0\Partition2\windows\Downloaded Program Files\GbPluginABN.inf
\Device\Harddisk0\Partition2\windows\Downloaded Program Files\gbpdist.dll
\Device\Harddisk0\Partition2\windows\Downloaded Program Files\gbiehAbn.dll
\Device\Harddisk0\Partition2\windows\system32\drivers\gbpkm.sys
\Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\gbieh.gmd
\Device\Harddisk0\Partition2\Program Files\GbPlugin\gbieh.gmd
\Device\Harddisk0\Partition2\Program Files (x86)\GbPlugin\gbieh.gmd
\Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\bb.gpc
\Device\Harddisk0\Partition2\Program Files\GbPlugin\bb.gpc
\Device\Harddisk0\Partition2\Program Files (x86)\bb.gpc
\Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\gbieh.dll
\Device\Harddisk0\Partition2\Program Files\GbPlugin\gbieh.dll
\Device\Harddisk0\Partition2\Program Files (x86)\gbieh.dll
\Device\Harddisk0\Partition2\windows\Downloaded Program Files\gbieh.gmd
\Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\Sv.exe
\Device\Harddisk0\Partition2\Program Files\GbPlugin\Sv.exe
\Device\Harddisk0\Partition2\Program Files (x86)\GbPlugin\Sv.exe
\Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\gbpdist.dll
\Device\Harddisk0\Partition2\Program Files\GbPlugin\gbpdist.dll
\Device\Harddisk0\Partition2\Program Files (x86)\gbpdist.dll
А так же следующие ключи реестра:
\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\GbPluginAbn
\Registry\Machine\Software\Classes\CLSID\{2E3C3651-B19C-4DD9-A979-901EC3E930AF}
\Registry\Machine\Software\Classes\CLSID\{3F888695-9B41-4B29-9F44-6B560E464A16}
\Registry\Machine\Software\Classes\CLSID\{A3717295-941D-416F-9384-ED1736729F1C}
\Registry\Machine\Software\Classes\CLSID\{AF45043F-819C-47CC-9B37-94DBE50A6E63}
\Registry\Machine\Software\Classes\TypeLib\{04978612-A774-406D-AF1B-F44E2838D72A}
\Registry\Machine\Software\Classes\TypeLib\{9CA261C7-D518-4987-B434-10A1B243C8B8}
\Registry\Machine\Software\Classes\TypeLib\{AD764BE6-87A7-46A1-8C55-A712D079E749}
\Registry\Machine\System\CurrentControlSet\Services\GbpKm
\Registry\Machine\System\ControlSet001\Services\GbpKm
Также руткит добавляет в системный файл «%system%\drivers\etc\hosts» следующие строки
216.***.133.236 www2.bancobrasil.com.br
216.***.133.237 aapj.bb.com.br
127.0.0.1 localhost
Hosts doWindows
Exemplo:
127.0.0.1 www.microsoft.com.br
Таким образом перенаправляя пользователя на фишинговые страницы при работе с веб-сайтами банка Banco do Brasil.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить файл:
%windir%\SysWOW64\drivers\plusdriver64.sys - Удалить службу с именем
driverusbplus - Изменить модифицированный файл «%System%\drivers\etc\hosts», используя любое стандартное приложение (например, «Блокнот» — «Notepad»). Требуется удалить все добавленные троянцем строки. Оригинальный файл hosts выглядит следующим образом:
- Восстановить параметры загрузки, выполнив следующие команды:
bcdedit /deletevalue loadoptions
bcdedit.exe -set TESTSIGNING OFF
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
Ищем уязвимости в системе и новых подписчиков!
Первое — находим постоянно, второе — ждем вас