Программа-шпион, предназначенная для похищения конфиденциальных данных пользователя.
Программа-шпион, предназначенная для похищения конфиденциальных данных пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 233867 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 242 КБ. Написана на C++.
После активации троянец снимает установленные перехватчики в System Service Descriptor Table (SSDT) .
Далее копирует свое тело в каталог автозагрузки текущего пользователя Windows:
%Documents and Settings%\%Current User%\Start Menu\Programs\Startup\igfxtray.exeТаким образом, копия троянца будет автоматически запускаться при каждом следующем старте системы.
Время и дата создания файла устанавливается как у файла:
%System%\smss.exeДля скрытия своего исполняемого файла, троянец перехватывает функцию:
NtQueryDirectoryFile
Троянец запускает копию системного файла:
%WinDir%\explorer.exeи внедряет в его адресное пространство вредоносный код. Если внедрить вредоносный код не удалось, ищет окно с именем класса "Shell_TrayWnd" (данный класс окна соответствует процессу "explorer.exe") или получает список всех процессов и сравнивает хеши имен процессов с хешом процесса "explorer.exe", прописанным в теле троянца.
Внедренный код, в свою очередь, запускает несколько экземпляров процесса "svchost.exe", внедряя в его адресное пространство вредоносный код реализующий описанный ниже функционал. Оригинальный файл троянца при этом удаляется.
Для внедрения вредоносного кода в адресное пространство запускаемых процессов в системе устанавливает перехватчик на следующую функцию:
NtResumeThreadТроянец держит открытый хэндл на исполняемый файл:
%Documents and Settings%\%Current User%\Start Menu\Programs\Startup\igfxtray.exeиз процесса "svchost.exe", в который был инжектирован вредоносный код. Троянец соединяется со следующим управляющим сервером злоумышленника:
wwwii.ruДля противодействия антивирусным продуктам и бот-сетям конкурентов троянец загружает с сервера следующие плагины:
wwwii.ru/cfg/stopav.psd wwwii.ru/cfg/miniav.psdЗагруженные плагины сохраняются под следующими именами:
%Documents and Settings%\%Current User%\%ApplicationData%\igfxtray.dat %Documents and Settings%\%Current User%\%ApplicationData%\igfxtrayhp.datТакже с управляющего сервера загружаются дополнительные файлы:
wwwii.ru/get/key.html wwwii.ru/<rnd1>.<rnd2>где <rnd1> - случайная последовательность букв, например "qlfuhdisozhblucrrm" или "yojxmoixqogbprreocmbv". <rnd2>- одно из следующих расширений:
.phtml .php3 .phtm .inc .7z .cgi .pl .doc .rtf .tpl .rarЗагруженные файлы сохраняются под именем "fi.dat":
%Documents and Settings%\%Current User%\%ApplicationData%\KYL\fi.datНа момент создания описания дополнительные модули не загружались. При помощи вредоносного кода внедренного в адресное пространство копий процесса"svchost.exe"троянец может выполнять следующий деструктивный функционал:
InternetCloseHandle InternetQueryDataAvailable InternetReadFile InternetReadFileExA InternetReadFileExW HttpSendRequestA HttpSendRequestW HttpSendRequestExA HttpSendRequestExW
Microsoft Internet Explorer Opera Firefox
*bsi.dll* *paypal.com* *ibc*
%Temp%\<tmp>.tmpгде <tmp>-случайная цифробуквенная последовательность. После чего файл сохраняется под именем "screen.jpeg":
%Temp%\screen.jpeg
РайффайзенБанк Faktura iBank PSB BSS cyberplat BlackwoodPRO FinamDirect GrayBox MbtPRO Laser LightSpeed LTGroup Mbt ScotTrader SaxoTraderтакже похищает комплект информации, состоящий из следующих ключевых файлов:
self.cer secrets.key cert.pfx sign.cer prv_key.pfxПохищенная информация сохраняется в файле:
%Temp%\<tmp>.tmpгде <tmp>-случайная цифробуквенная последовательность. после чего записывается в файл:
%Temp%\Information.txtфайл отчета имеет следующий формат:
Program: <имя_программы> Wnd Name: <имя_активного_окна> Server: <адрес>:<порт> Password: <пароль> Certificate: <сертификат> ClipBuffer: <история_вводимых_пользователем_символов>Используя функции из библиотеки "cabinet.dll", троянец создает cab–архив, с именем
%Temp%\CAB<tmp>.tmpгде <tmp>-случайная цифробуквенная последовательность. в котором сохраняет файлы с похищенными данными. Затем троянец зашифровывает файл и отправляет на сервер злоумышленника. После отправки данных файл удаляется.
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Documents and Settings%\%Current User%\Start Menu\Programs\Startup\igfxtray.exe %Documents and Settings%\%Current User%\%ApplicationData%\igfxtray.dat %Documents and Settings%\%Current User%\%ApplicationData%\igfxtrayhp.dat %Documents and Settings%\%Current User%\%ApplicationData%\KYL\fi.dat
Собираем и анализируем опыт профессионалов ИБ