Trojan-Spy.Win32.Broker.j

Материал из Total Malware Info

Trojan-Spy.Win32.Broker.j Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 151040 байт. Упакован неизвестным упаковщиком, распакованный размер 139 к.б.

Инсталляция

Копирует свой исполняемый файл как:

%System%\ntos.exe

Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit=%System%\userinit.exe,%System%\ntos.exe,

Троян создает поток, который непрерывно восстанавливает оригинальный файл трояна на жестком диске и запись автозагрузки в системном реестре.

Деструктивная активность

Внедряет свой код во все запущенные в системе процессы, который выполняет следующие действия: Похищает ключи шифрования к программному обеспечению Quik. Для этого троян ищет в папке с установленным ПО Quik файл с именем qrypto.cfg и читает из него путь к хранилищам с открытыми и закрытыми ключами из следующих параметров:

secring=<путь>\pubring.txk
pubring=<путь>\secring.txk

после чего используя библиотеку qrypto32.dll, которая входит в состав Quik троян извлекает ключи из хранилища и передает на сайт злоумышленников. Перехватывает значения следующих параметров:

PAYMENT_AMOUNT
PAYEE_ACCOUNT
pass

На следующих веб страницах:

https://www.******.com/sci_asp/payments.asp
https://onlineeast*********merica.com/cgi-bin/ias/

и отсылает отчет на сайт злоумышленников Создает файлы:

%System%\wsnpoem\audio.dll
%System%\wsnpoem\video.dll

в которых временно хранит собранную информацию. Эти файлы периодически загружаются на FTP сервер злоумышленников. Запускает HTTP прокси сервер на компьютере пользователя на TCP порте со случайным номером.

Trojan-Spy.Win32.Broker.j

Материал из Total Malware Info

Инсталляция

Деструктивная активность

Рекомендации по удалению

Язык

Навигация

Поиск

Видеокурс