CureIT отловил на соседском компе. Троянец не новый.
Эта вредоносина похищает различную информацию, загружает с удаленных серверов другие приложения и выполняет в системе отдаваемые злоумышленниками команды.
Распространяется, посредством электронных писем, отправителем которых якобы является почтовая служба UPS. В письме содержится личное обращение к получателю, а также сообщение о невозможности доставки почтового отправления. Потенциальной жертве предлагается заполнить приложенный к письму документ, указав правильный адрес доставки. В качестве вложения данное сообщение содержит zip-архив, внутри которого обнаруживается исполняемый файл со значком документа Microsoft Word. Если в операционной системе получателя такого письма отключено отображение расширений известных типов файлов, ничего не подозревающий пользователь может попытаться открыть этот "документ", запустив тем самым вредоносную программу.
Начав работу на компьютере жертвы, троянец создает свою копию в папке Application Data учетки пользователя Винды, удаляет исходный файл и прописывает себя в ветвь реестра, отвечающую за автоматическую загрузку приложений. Затем Trojan.Inject1 запускает explorer.exe, встраивает в него собственный код, после чего пытается встроиться во все процессы, работающие в данный момент в операционной системе. Внедрив собственный код в процессы explorer.exe, iexplore.exe или firefox.exe, троянец устанавливает HTTP-соединение с управляющими серверами, адреса которых записаны в его коде. Для шифрования своих запросов вредоносная программа использует стандартные функции MS Windows CryptoAPI.
Собирает информацию о профиле пользователя, из-под учетной записи которого он запущен, а также тырит и передает кукисы браузеров Mozilla Firefox и Internet Explorer, что грозит для пользователя компрометацией его учетных записей. Кроме того, троянец способен выполнять на инфицированном компьютере поступающие от управляющих серверов команды, в частности, перенаправлять запросы командному интерпретатору Windows, загружать и запускать, а также передавать с зараженного ПК различные файлы, осуществлять поиск файлов на дисках и сообщать командному центру список файлов в заданной директории.
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'KB01321295.exe' = '"%APPDATA%\KB01321295.exe"'
Вредоносные функции:
Создает и запускает на исполнение:
%APPDATA%\KB01321295.exe
Запускает на исполнение:
%WINDIR%\explorer.exe
Внедряет код в следующие системные процессы:
\ctfmon.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
%APPDATA%\KB01321295.exe
%TEMP%\exp1.tmp.bat
Самоудаляется.
Из процессов "firefox.exe","iexplore.exe","explorer.exe" устанавливает соединение с удаленными командными серверами по протоколу HTTP. Собирает информацию о профиле текущего пользователя, cookies Firefox и Internet Explorer. Способен выполнять команды:
перенаправлять запросы командному интерпретатору Windows;
upload/download файлов;
перечислить файлы в каталоге;
поиск файлов начиная с заданной директории.
Блин, когда же люди приучатся не открывать почту от кого попало? А хакеры перестануть гонять это старьё и придумают что нить пооригинальнее.)))
Например так, создаётся сайт фотохостинговый, который будет обрабатывать фотки/картинки. При "обработке", к фото приаттачивается обфусцированный билд троянца и выдаётся обратно ничего не подозревающему юзверю. Кто там будет смотреть и разбираться, почему вес картинки увеличился на несколько килобайт? Да после обработки, вес файла по любому изменится.
Комментарии