Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя
Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 78848 байта.
Инсталляция
Троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\6GNFOSV.EXE
Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows]"load" = "%System%\6GNFOSv.exe"
name="doc3">
Деструктивная активность
Модифицирует файл
%System%\drivers\hostsтаким образом, чтобы невозможно было зайти на сайты многих антивирусных компаний.
Ворует пользовательскую информацию, относящуюся к системам интернет-платежей Webmoney, FAKTURA, IBANK, INIST, Raiffeisen, BS-Defender,Сбербанк.
Также троян извлекает данные, находящиеся в буфере обмена и перехватывает ввод пользователя с клавиатуры (keylogger).
Копирует данные о посещенных страницах, перехватывает отправляемые данные.
Для этого троянец внедряет свой код в services.exe и устанавливает перехватчики на следующие API-функции:
CreateFileW
CryptEncrypt
GetFileAttributesExW
send
WSASend
GetWindowTextA
vb_pfx_import (sks2xyz.dll)
RCN_R50Buffer(FilialRCon.dll)
Также троян ищет в системе запущенные процессы
iexplore.exe
opera.exe
java.exe
javaw.exe
В случае нахождения устанавливает устанавливает перехватчики на следующие API-функции:
Getaddrinfo
gethostbyname
inet_add
PeekMessageW
Собранную информацию троян отсылает на сайт злоумышленника.
http://jpjigol.cn/knok.php?id=