Форум VolSat - Показать сообщение отдельно - Кибербезопасность-обсуждение

Tuflya07 · 22.04.2010, 14:53

Trojan-Spy.Win32. Goldun.bbo

20 апреля, 2010

Вредоносная программа, предназначенная для кражи конфиденциальных данных пользователя.
Инсталляция

При запуске программа извлекает из себя и создает на диске два файла, которые являются частями вредоносной программы и содержат основной вредоносный функционал:
%system%\netprp.dll
%system%\netpr.sys
Для автоматической загрузки динамически подключаемой библиотеки(netprp.dll) в адресное пространство создаваемых процессов, вредоносная программа создает ключ системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Notify \netprp]
"Asynchronous"= 1
"DllName" = “netprp”
"Impersonate"= 1
"MaxWait"= 1
"ng950"="[817130DE43D93F323]"
"Startup"="netprp"
Также программа регистрирует драйвер netpr.sys как системный сервис.
Деструктивная активность

Вредоносная программа перехватывает информацию об учётной записи (логины и пароли), которые пользователь вводит на следующих сайтах:
sitekey.bankofamerica.com/sas/verifyImage.do
online*.bankofamerica.com/*
Также программа ищет на компьютере пароли от почтовых ящиков пользователя в программах The Bat! и Microsoft Office Outlook.

Собранная информация отправляется на сайт злоумышленника
http://kitroneza.cn/rss.php

22.04.2010, 14:53	#18
Tuflya07 Гуру Регистрация: 07.10.2007 Ресивер: Openbox X-800 Сообщений: 10,562 Сказал(а) спасибо: 2,820 Поблагодарили 5,656 раз(а) в 4,455 сообщениях Вес репутации: 46	Trojan-Spy.Win32. Goldun.bbo 20 апреля, 2010 Вредоносная программа, предназначенная для кражи конфиденциальных данных пользователя. Инсталляция При запуске программа извлекает из себя и создает на диске два файла, которые являются частями вредоносной программы и содержат основной вредоносный функционал: %system%\netprp.dll %system%\netpr.sys Для автоматической загрузки динамически подключаемой библиотеки(netprp.dll) в адресное пространство создаваемых процессов, вредоносная программа создает ключ системного реестра: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Notify \netprp] "Asynchronous"= 1 "DllName" = “netprp” "Impersonate"= 1 "MaxWait"= 1 "ng950"="[817130DE43D93F323]" "Startup"="netprp" Также программа регистрирует драйвер netpr.sys как системный сервис. Деструктивная активность Вредоносная программа перехватывает информацию об учётной записи (логины и пароли), которые пользователь вводит на следующих сайтах: sitekey.bankofamerica.com/sas/verifyImage.do online.bankofamerica.com/ Также программа ищет на компьютере пароли от почтовых ящиков пользователя в программах The Bat! и Microsoft Office Outlook. Собранная информация отправляется на сайт злоумышленника http://kitroneza.cn/rss.php __________________