Trojan-Spy.Win32.Perfloger.f
При инсталляции поддерживает опцию, называемую "Smart Rename" - переименование файлов по заданному злоумышленником префиксу. Поддерживается три режима инсталляции - полная, скрытная (в этом случае устанавливается только движок, следящий за пользователем), троянская (подготовленный дистрибутив по вирусному принципу цепляется к любой программе).
Слежение за пользователем предполагает:
1. Запись информации о нажатиях клавиш
2. Протоколирование обмена в чатах
3. Снятие скриншотов экрана с заданным интервалом
4. Запись посещаемых URL
Собранная информация может отсылаться по электронной почте и FTP (процесс отправки содержит массу настроек, позволяющих задать периодичность отправки, состав и формат отправляемой информации).
В настройках предусмотрена возможность задания особой реакции на ввод заранее заданных ключевых слов и задание фильтра для мониторинга клавиатурного ввода только в определенных приложениях (приложение опознается по имени окна или по имени исполняемого файла).
В управляющей оболочке предусмотрена возможность "Remote Installation" - подготовка компактного инсталлятора для внедрения данного шпиона на компьютер пользователя. Инсталлятор приписывается к любой указанной безопасной программе по вирусному принципу (при последующем запуске этой программы производится скрытная инсталляция шпиона). В ходе инсталляции возможно завершение процессов антивирусов/Firewall (этот режим включается опционально), загрузка исполняемого файла с заданного URL и его запуск, автоматическое самоуничтожение кейлоггера по прошествии заданного интервала времени. Размер зараженной таким образом программы увеличивается на 210 кб. Наличие подобного генератора инсталляций делает Perfect Keylogger удобным инструментом для злоумышленника, т.к. решается проблема скрытной инсталляции на ПК пользователя.
Для слежения за клавиатурным вводом устанавливается hook, размещенный в bpkhk.dll (8704 байта, не сжата, экспортирует функции с именами EnableNTInvisible, EnableSpecialKeysLogging, EnableAltInterception)
Данный шпион может маскировать свое присутствие по руткит-принципу. Маскировка достигается за счет перехвата подменой адреса в таблице импорта процесса (классический метод в классической реализации). Установка перехвата производится из bpkhk.dll, модификация IAT ведется штатным образом при помощи bpkhk.dll (поиск IAT в памяти осуществлен "по Рихтеру" -при помощи функции ImageDirectoryEntryToData. В результате подобной маскировки процесс данного шпиона не виден в стандартном диспетчере процессов (но при этом виден в альтернативных диспетчерах процессов).
Детектирование:
1. AVZ детектирует данного шпиона эвристикой:
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\test\i_bpk2003(1)\bpkhk.dll --> Подозрение на Keylogger или троянскую DLL
C:\test\i_bpk2003(1)\bpkhk.dll>>> Нейросеть: файл с вероятностью 99.87% похож на типовой перехватчик событий клавиатуры/мыши
7. Эвристичеcкая проверка системы
>>> C:\test\I_BPK2~1\bpkwb.dll ЭПС: подозрение на Monitor.Win32.Perflogger (высокая степень вероятности)
Поиск вручную:
1. Данный шпион регистрирует класс с CLSID = 1E1B2879-88FF-11D3-8D96-D7ACAC95951A (ссылающийся на bpkwb.dll) и устанавливает его как BHO для Internet Explorer;
2. Слежение за клавиатурой производится при помощи hook, и во все GUI процессы внедряется bpkhk.dll. Библиотека явным образом импортирует функцию ImageDirectoryEntryToData из IMAGEHLP.DLL (что выдает ее "руткитные наклонности").
Удаление:
Удаление не представляет сложности - необходимо стереть при помощи отложенного удаления принадлежащие шпиону файлы, удалить зарегистрированны им BHO и перезагрузиться. При удалении файлов с помощью AVZ удаление класса и BHO проходят автоматически.