Trojan-Spy.Win32.Zbot.ikh

Описание:
Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл).

Trojan-Spy.Win32.Zbot.ikh («Л К») также известен как:

Trojan: Generic PWS.y (McAfee)
Mal/Generic-A (Sophos)
Trojan.Packed.443 (DrWeb)
Win32/Kryptik.FH trojan (Nod32)
MemScan:Trojan.Spy.Zeus.C (BitDef7)
Win32:Zbot-AXP [Trj] (AVAST)
TR/Spy.ZBot.ikh (AVIRA)
Trojan Horse (NAV)

Тип вредоносной программы:
Троян

Уровень опасности:
высокий

Размер:
67072 байт

Технические детали:
Троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\twex.exe

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:


Троянец внедряет свой код во все запущенные в системе процессы и устанавливает перехватчики на следующие API-функции:


Используя эти перехватчики, троян следит за работой программы WebMoney Keeper. В момент, когда программа производит авторизацию на сайте, троян извлекает следующую информацию:

- номер интернет-кошелька (WMID);
- пароль;
- режим входа (стандартный/enum-storage);
- версию программы WebMoney Keeper;
- текущий баланс на счету пользователя.

Также троян ищет в системе окна с именами классов:


и имеющие следующие заголовки:


Если такие окна найдены, троянец ищет в папке с программой, которой принадлежат эти окна следующие файлы:


И упаковывает их в архив:
%Temp%\interpro.cab

Также троян извлекает данные, находящиеся в буфере обмена при вставке в окна данной программы и перехватывает ввод пользователя с клавиатуры (keylogger).

Троянец перехватывает HTTP запросы со следующих адресов:


Из перехваченных данных извлекаются все значения полей web-форм, имена которых выбираются по следующим маскам:


Собранную информацию троян отсылает на сайт злоумышленника.

Удаление:
#1 При помощи завершить вредоносный процесс.

#2 Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

#3 Изменить значение параметра в ключе системного реестра на следующее:


#4 Перезагрузить компьютер.

#5 Удалить файл:
%System%\twex.exe

#6 Очистить содержимое папки %Temp%

Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.