Infostealer.Monstres
Тип: Троян
Троян AdwareТрояны - вредоносные программы, выполняющие различные несанкционированные действия в системе. Это может быть, в частности, сбор и отправка информации, загрузка из интернета и выполнение другого кода, участие в DoS-атаках, рассылка спама. В отличие от вирусов и червей, трояны не распространяются самостоятельно. Как правило, скрывают своё присутствие в системе и загружаются автоматически после каждого запуска системы. Операционная система: Windows Уровень: низкий Размер: 153.600 байт Признаки Для проверки наличия своей копии в памяти использует мутекс "__SYSTEM__91C38905__". Проверяет наличие в системе файла OUTPOST.EXE (Outpost Firewall). Копирует себя в файл %System%\ntos.exe, добавляя случайное количество байт в конец. Создаёт директорию %System%\wsnpoem с атрибутами системная и скрытая. В этой директории создаёт два файла - audio.dll для хранения собранной информации и video.dll для хранения собственных настроек. Создаёт в реестре запись: * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"pathx" = [ОРИГИНАЛЬНОЕ_ИМЯ_ТРОЯНА] Обеспечивает себе автозапуск при каждом старте системы. Для этого модифицирует следующую запись реестра: * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\userinit.exe, %System%\ntos.exe" Встраивает код в процессы WINLOGON.EXE и SVCHOST.EXE. Пытается создать потоки (threads) во всех процессах, кроме CSRSS.EXE. Для синхронизации потоков использует мутексы: * __SYSTEM__23D80F10__ * __SYSTEM__45A2F601__ * __SYSTEM__7F4523E5__ * __SYSTEM__91C38905__ * __SYSTEM__64AD0625__ Для обеспечения устойчивости блокирует удаление и доступ к своим файлам и периодически перезаписывает все созданные и модифицированные записи реестра в случае их удаления. Создаёт в реестре маркер, обозначающий, что компьютер уже захвачен: * HKEY_LOCAL_MACHINE\Software\microsoft\windows nt\currentversion\network\"UID" = "[ИМЯ_КОМПЬЮТЕРА]_[УНИКАЛЬНЫЙ_ID]" Перехватывает API NTDLL.DLL при помощи кода, внедрённого в процессы. Список API: * NtCreateThread * LdrLoadDll * LdrGetProcedureAddress Перехватывает API библиотеки работы с интернетом WININET.DLL для контроля над работой в Сети и кражи информации. Перехват осуществляется кодом, внедрённым в процессы. Список API: * HttpSendRequestW * HttpSendRequestA * HttpSendRequestExW * HttpSendRequestExA * InternetReadFile * InternetReadFileExW * InternetReadFileExA * InternetQueryDataAvailable * InternetCloseHandle Также перехватывает API библиотек WS2_32.DLL и WSOCK32.DLL для тех же целей, что и WININET.DLL. Список API (отправка информации по TCP/IP и UDP, а также закрытие сокета): * send * sendto * closesocket * WSASend * WSASendTo При посещении сайта Monster.com может перехватывать трафик, перенаправлять трафик и собирать конфиденциальную информацию, отправленную на сайт (имя, адрес электронной почты, домашний адрес, номер домашнего телефона. Пытается переслать данные на хост 195.189.246.233. Связывается с хостом
http://195.******[УДАЛЕНО] для получения дополнительных настроек и данных для рассылки спама. Рассылает спам по запросу; пытается использовать SMTP-сервер smtp.bizmail.yahoo.com. Псевдонимы: Prg Trojan, Ntos, Tcp Trojan, Zeus, Banker.AAM. ЗАЩИТА * Отключить функцию "Восстановление системы" (для Windows ME и XP) * Полностью проверить систему антивирусом с обновлённой базой сигнатур * Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe) Действие Крадёт конфиденциальную информацию с захваченного компьютера, включая реквизиты, передаваемые пользователем на сайт Monsters.com. Может рассылать спам, получая инструкции с удалённого сервера. источник: Symantec.com