Backdoor.Win32. Shiz.ez

Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (-PE-EXE файл)-.

Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 98304 байт. Упакован неизвестным упаковщиком, распакованный размер ~1300 к.б.

Инсталляция

Копирует свой исполняемый файл как:

%System%\.EXE

где - случайная последовательность прописных букв и цифр, например 5jYcZS0.exe

Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Userinit" = "C:\WINDOWS\system32\userinit.exe %System%\.exe"
name="doc3">

Деструктивная активность

Ищет в системе следующие процессы и внедряет в них свой код:

iexplore.exe
opera.exe
java.exe
javaw.exe
explorer.exe|
sclient.exe
intpro.exe
mnp.exe
services.exe

Внедренный код перехватывает сетевой траффик этих процессов, при помощи перехвата следующих функций:

GetAddrInfo
inet_addr
send
gethostbyname
wsasend

так же троян следит за вводом с клавиатуры и собирает информацию копируемую в буфер обмена.

Так же троян перехватывает функцию:

CryptEncrypt

для слежения за шифруемыми данными и функцию

GetWindowTextA

для перехвата данных в окнах программ с которыми работает пользователь.

Ворует банковские реквизиты пользователей следующих систем онлайн банкинга:

Inter-PRO Client
РФК Клиент-Web
Webmoney
FAKTURA.ru
RAIFFEISEN

Так же троян собирает историю посещения сайтов из браузеров:

Opera
Mozilla Firefox

Собранную информацию отсылает на сайт злоумышленника.

http://candri***.com/gate.php

Троян добавляет в систему некорректные сетевые маршруты для блокирования доступа к большому списку IP адресов.

Пытается вывести из строя следующие антивирусы:

Kaspersky
AVG
Avira
CA HIPS

Создает на зараженной системе SOCKS-прокси сервер на случайном TCP порте и уведомляет об этом сайт злоумышленников:

http://candri***.com/socks.php

Так же троян может выводить из строя операционную систему записывая мусор в устройство

\\.\PhysicalDrive0

завершая системные процессы:

smss.exe
csrss.exe
lsass.exe

а так же удаляя критические для загрузки ОС файлы:

ntldr
ntdetect.com

находящиеся на системном диске.