Форум VolSat - Показать сообщение отдельно - Кибербезопасность-обсуждение

Tuflya07 · 17.04.2010, 19:20

Trojan-Banker. Win32.IntPro.a

Вредоносная программа, предназначенная для кражи конфиденциальной пользовательской информации программы Inter-PRO Client. Является приложением Windows (PE-EXE файл).
Инсталляция

При запуске программа извлекает из себя и копирует в системный каталог Windows следующие файлы:
%System%\sfcfiles.dll
%System%\drivers\sfc.sys
Программа создает следующие ключи реестра, в которых в зашифрованном виде хранятся настройки программы:
HKLM\SOFTWARE\Settings\CoreSettings
HKLM\SOFTWARE\Settings\CryptoHash
HKLM\SOFTWARE\Settings\DigitalProductId
HKLM\SOFTWARE\Settings\DriveSettings
HKLM\SOFTWARE\Settings\ErrorControl
HKLM\SOFTWARE\Settings\kernel32
Распространение

Для распостранения по сети программа использует уязвимость MS06-040. Также программа пытается подобрать пароли администратора для соседних компьютеров.

Для распостаранения программа также копирует себя на съемные диски, создавая на них файлы autorun.inf.

Деструктивная активность

При успешном запуске, программа скачивает обновления по адресу:
http://local-port-connect.com/ortew/page.php
Находясь в адресном пространстве процесса “intpro.exe”, программа перехватывает конфиденциальные данные пользователя, используемые в программном комплексе Inter-PRO Client, и отсылает их на следующий электронный адрес злоумышленника, указанный в теле вредоносной программы:
http://local-port-connect.com/ori/page.php

Также программа содержит в себе драйвер sfc.sys, в задачу которого входит скрытие файлов и ключей реестра вредоносной программы.

17.04.2010, 19:20	#10
Tuflya07 Гуру Регистрация: 07.10.2007 Ресивер: Openbox X-800 Сообщений: 10,562 Сказал(а) спасибо: 2,820 Поблагодарили 5,656 раз(а) в 4,455 сообщениях Вес репутации: 46	Trojan-Banker. Win32.IntPro.a Вредоносная программа, предназначенная для кражи конфиденциальной пользовательской информации программы Inter-PRO Client. Является приложением Windows (PE-EXE файл). Инсталляция При запуске программа извлекает из себя и копирует в системный каталог Windows следующие файлы: %System%\sfcfiles.dll %System%\drivers\sfc.sys Программа создает следующие ключи реестра, в которых в зашифрованном виде хранятся настройки программы: HKLM\SOFTWARE\Settings\CoreSettings HKLM\SOFTWARE\Settings\CryptoHash HKLM\SOFTWARE\Settings\DigitalProductId HKLM\SOFTWARE\Settings\DriveSettings HKLM\SOFTWARE\Settings\ErrorControl HKLM\SOFTWARE\Settings\kernel32 Распространение Для распостранения по сети программа использует уязвимость MS06-040. Также программа пытается подобрать пароли администратора для соседних компьютеров. Для распостаранения программа также копирует себя на съемные диски, создавая на них файлы autorun.inf. Деструктивная активность При успешном запуске, программа скачивает обновления по адресу: http://local-port-connect.com/ortew/page.php Находясь в адресном пространстве процесса “intpro.exe”, программа перехватывает конфиденциальные данные пользователя, используемые в программном комплексе Inter-PRO Client, и отсылает их на следующий электронный адрес злоумышленника, указанный в теле вредоносной программы: http://local-port-connect.com/ori/page.php Также программа содержит в себе драйвер sfc.sys, в задачу которого входит скрытие файлов и ключей реестра вредоносной программы. __________________