Имя:TR/Spy.BZub.GM
Обнаружен:01/02/2007
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:92.888 байт.
Контрольная сумма MD5:9344dfb9f65beef177b148ce0f5ad071
Версия VDF:6.37.01.10 - четверг, 1 февраля 2007 г.
Версия IVDF:6.37.01.10 - четверг, 1 февраля 2007 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan-Spy.Win32.BZub.hv
   •  F-Secure: Trojan-Spy.Win32.BZub.hv
   •  Sophos: Troj/Dloadr-ASR


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает потенциально опасный файл
   • Снижает уровень настроек безопасности
   • Отслеживается и записывает введенные с клавиатуры символы
   • Похищает информацию

 Файлы  Удаляются следующие файлы:
   • %PROGRAM FILES%\Mozilla Firefox\xpcom.dll
   • %PROGRAM FILES%\Mozilla Firefox\softokn3.dll
   • %PROGRAM FILES%\Mozilla Firefox\nss3.dll
   • %PROGRAM FILES%\Mozilla Firefox\js3250.dll
   • %PROGRAM FILES%\Opera\opera.dll
   • %PROGRAM FILES%\Opera\spellcheck.dll



Создаются следующие файлы:

– Файлы предназначены для временного использования и могут быть удалены.
   • %SYSDIR%\info.txt
   • c:\1.txt

%SYSDIR%\ipv6monl.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.BZub.HV

– c:\1.bat

 Реестр Удаляются значения следующего ключа реестра:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load]
   • h
   • wspopp
   • forwas
   • nw
   • worg
   • cryptpa
   • tas
   • tannumr
   • tantotl
   • taloinata
   • pops
   • ip
   • scrensos
   • faddress
   • fter
   • ftass
   • uincl
   • pstincl
   • ptexcl



С добавлением следующих ключей регистрируется BHO (browser helper object):

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Enable Browser Extensions"="yes"

– [HKCR\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}\InprocServer32]
   • "ThreadingModel"="apartment"
   • "(Default)"="%SYSDIR%\ipv6monl.dll"

– [HKCR\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
– [HKCR\AppID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   browser helper objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]


Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE"="%PROGRAM
      FILES%\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer"



Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load]
   • "cmpid"=%шестнадцатиричное значение%
   • "worg"=%шестнадцатиричное значение%
   • "net_insll"=%актуальная дата%
   • "info_sze"=%шестнадцатиричное значение%
   • "ino"=%шестнадцатиричное значение%
   • "timeu"=%Дата будущего периода%
   • "h"=%Дата будущего периода%

 Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы
– Используемые функцией AutoComplete пароли
– Информация об учетной записи электронной почты из реестра: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– После посещения одной из следующих веб-страниц была запущена функция протоколирования:
   • https://banking.*.de/
   • e-gold.com
   • banking.postbank.de
   • https://*.netbank.commbank.com.au/netbank/bankmain
   • signin.ebay.com
   • https://sitekey.bankofamerica.com/
   • https://my.if.com/
   • https://olb2.nationet.com
   • https://ibank.barclays.co.uk/

– Протоколируется:
    • Нажатие клавиш
    • Информация об окне
    • Регистрационная информация

Описание добавил Cristian Dobre в(о) пятница, 2 февраля 2007 г.
Описание обновил Andrei Ivanes в(о) среда, 28 февраля 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.