На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan-Spy

Trojan-PSW.Win32.QQPass.rj


Rootkit:  Нет
Видимые проявления:  Файл MSINFO\SysInfo.wmp детектируется антикейлоггером AVZ и находится в автозапуске
Появление на ПК множетсва посторонних файлов и процессов

Установка трояна в систему производится троянским инсталлятором, который имеет размер 27288 байта. В случае запуска инсталлятор скрытно выполняет следующие действия:
1. Пересоздает файл Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo.wmp размером 44177 байта. Этот файл является динамической библиотекой.
2. Регистрирует в реестре класс {729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}, ссылающийся на SysInfo.wmp
3. Регистрирует данный класс при помощи достаточно экзотического ключа реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
4. Создает файл _xr.bat в текущем каталоге и запускает его. Данный bat файл применяется для самоуничтожения инсталлятора. После запуска BAT файла инсталлятор завершает свою работу

Библиотека SysInfo.wmp детектируется анализатором AVZ:
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo.wmp --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo.wmp>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь, оконные события, все события
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo.wmp>>> Нейросеть: файл с вероятностью 99.22% похож на типовой перехватчик событий клавиатуры/мыши

После загрузки в память процессов библиотека SysInfo.wmp инициирует скрытную загрузку файлов из Интернет. Загруженные файлы запускаются, что приводит, в частности: 
iexpl0re.exe (25664 байта, Trojan-PSW.Win32.Nilage.bea),
lexpl0re.exe (23608 байта, Trojan-PSW.Win32.OnLineGames.ep),
windows\system32\IeBar1.dll (36864 байт, AdvWare.Win32.WSearch.j),
windows\f2.exe (Trojan-Dropper, устанавливает файлы system32\drivers\gcvth.sys и system32\nuyxf.dll)
и т.п., и массы элементов автозапуска.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.