Trojan-Spy.Win32.Zbot.ci

Материал из Total Malware Info

Trojan-Spy.Win32.Zbot.ci Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 42496 байт. Упакован неизвестным упаковщиком, распакованный размер 139 к.б.

Инсталляция

Копирует свой исполняемый файл как:

%System%\ntos.exe

Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit=%System%\userinit.exe,%System%\ntos.exe,

Троян создает поток, который непрерывно восстанавливает оригинальный файл трояна на жестком диске и запись автозагрузки в системном реестре.

Деструктивная активность

Создает пустой файл:

%System32%\drivers\jlif.sys

Внедряет свой код во все запущенные в системе процессы, который выполняет следующие действия: Похищает ключи шифрования к программному обеспечению Quik. Для этого троян ищет в папке с установленным ПО Quik файл с именем qrypto.cfg и читает из него путь к хранилищам с открытыми и закрытыми ключами из следующих параметров:

secring=<путь>\pubring.txk
pubring=<путь>\secring.txk

после чего используя библиотеку qrypto32.dll, которая входит в состав Quik троян извлекает ключи из хранилища и передает на сайт злоумышленников. Перехватывает значения следующих параметров:

PAYMENT_AMOUNT
PAYEE_ACCOUNT
pass

На следующих веб страницах:

https://onlineeast*********merica.com/cgi-bin/ias/

и отсылает отчет на сайт злоумышленников Создает файлы:

%System%\wsnpoem\audio.dll
%System%\wsnpoem\video.dll

в которых временно хранит собранную информацию. Собранные данные отсылаются в HTTP запросе на следующий адрес:

203.121.79.71

Запускает HTTP прокси сервер на компьютере пользователя на TCP порте со случайным номером и сообщает об этом на сайт злоумышленников в HTTP запросе.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Для удаления данного трояна следует воспользоваться Антивирусом Касперского с обновленными антивирусными базами.