Основан 26 Июля 2013 года
freehacks.ru fhacks.me fhacks.pw fhacksnplmzxaaoo.onion
Показано с 1 по 3 из 3
  1. #1
    TopicStarter
    Заблокирован по собственному желанию
    Аватар для S3ct0r

    Статус
    Offline
    Регистрация
    30.03.2014
    Сообщений
    459
    Репутация
    202 + / -
    Другое

    Trojan.Win32.Menti.hsdx

    Описание
    Trojan.Win32.Menti.hsdx - программа-шпион, предназначенная для похищения конфиденциальных данных пользователя. Является приложением Windows (PE-EXE файл). Размер - 180736 байт. Упакована при помощи UPX. Распакованный размер — около 258 КБ. Написана на C++.


    Инсталляция
    После активации троян копирует свое тело в следующий каталог:

    %Documents and Settings%\%Current User%\Application Data\<rnd>\<rnd1>.exe

    <rnd> – случайная последовательность букв латинского алфавита, например "Lefu"
    <rnd1> - случайная последовательность букв латинского алфавита, например "meata".

    При этом в созданной копии трояна модифицируются последнии 1024 байта и детектируется, как HEUR:Trojan.Win32.Generic.

    [Только зарегистрированные могут видеть это. ]

    Время и дата создания файла устанавливается случайным образом. Для автоматического запуска троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "<rnd2>" = "%Documents and Settings%\%Current User%\Application Data\<rnd>\<rnd1>.exe"

    где <rnd2> - уникальный идентификатор, например "{749219A0-9E4E-15D8-8C5D-6D53482B8F83}".

    После чего оригинальное тело трояна удаляется и запускается его созданная копия. Троян создает файл командного интерпретатора во временном каталоге текущего пользователя Windows под случайно сгенерированным именем, в который записывает код для удаления свое оригинального файла и самого файла командного интерпретатора:

    %Temp%\tmp<rnd3>.bat

    где <rnd3> - случайная цифробуквенная последовательность, например "999dbbeb".

    Далее созданный файл запускается на выполнение.


    Деструктивная активность
    Троян внедряет вредоносный код в адресное пространство процесса:

    explorer.exe

    Данный код выполняет следующие действия:

    Внедряет свой вредоносный код во все пользовательские процессы;
    Запускает поток, который восстанавливает значения параметра ключа автозапуска:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "<rnd2>" = "%Documents and Settings%\%Current User%\Application Data\<rnd>\<rnd1>.exe"

    Для хранения своей служебной информации создает ключ реестра:
    [HKCU\SOFRWARE\Microsoft\<rnd4>]
    "<rnd5>" = "hex:33,8f,a5,8e,69,eb,49,1a,d6,2a,ef,23,d9,be,c0, f1,33,8f,a5,8e,69,eb,\
    49,1a,d6,2a,ef,23,d9,be,c0,f1,81,6a,84,13,6a,54,c6 ,72,8e,f5,43,d2,17,99,8c,\
    3e,33,8f,a5,8e,69,eb,49,1a,d6,2a,ef,23,d9,be,c0,f1 ,33,8f,a5,8e,69,eb,49,1a,\
    d6,2a,ef,23,d9,be,c0,f1,33,8f,a5,8e,69,eb,49,1a,d6 ,2a,ef,23,d9,be,c0,f1,33,\
    8f,a5,8e,69,eb,49,1a,d6,2a,ef,23,d9,be,c0,f1,00,00 ,00,00"

    где <rnd4> - случайная последовательность букв латинского алфавита, например "Atqeo".
    где <rnd5> - случайная последовательность бук латинского алфавита, например "Ygto".


    Изменяет настройки зон безопасности Internet Explorer для отключения уведомлений и изменений доступа к данным при посещении веб-узлов:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\0]
    "1609" = "0"

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\1]
    "1406" = "0"
    "1609" = "0"

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\2]
    "1609" = "0"

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\3]
    "1406" = "0"
    "1609 = 0"

    [HKC\Software\Microsoft\Windows\CurrentVersion\Inte rnet Settings\Zones\4]
    "1406" = "0"
    "1609" = "0"

    Создает ключ системного реестра:
    [HKCU\Software\Microsoft\Internet Explorer\Privacy]
    "CleanCookies" = "0"

    Удаляет параметр следующего ключа реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "internat.exe" = ""

    Соединяется в управляющим сервером для получения файла конфигурации:
    [Только зарегистрированные могут видеть это. ]
    На момент создания описания сервер не работал.

    На основании данных, полученных с управляющих серверов троян может выполнять следующие действия на зараженном компьютере:

    Обновлять свой оригинальный файл.
    Перехватывать весь исходящий трафик с целью похищения конфиденциальных данных пользователя, устанавливая системные перехватчики на следующие функции:
    InternetCloseHandle
    InternetQueryDataAvailable
    InternetReadFile
    InternetReadFileExA
    InternetReadFileExW
    HttpSendRequestA
    HttpSendRequestW
    HttpSendRequestExA
    HttpSendRequestExW
    closesocket
    send
    WSASend

    Похищать сертификаты.
    Удалять и похищать cookies.
    Вести лог клавиатурного ввода.
    Блокировать посещение ресурсов, указанных в конфигурационном файле.
    Извлекать данные из буфера обмена.
    Предоставлять полный доступ к компьютеру пользователя.

    Вся похищенная информация сохраняется в зашифрованном виде в следующий файл:

    %Documents and Settings%\%Current User%\Application Data\<rnd>\<rnd6>.<rnd7>

    <rnd> – случайная последовательность букв латинского алфавита, например "Iqof".
    <rnd6> - случайная последовательность букв латинского алфавита, например "xiro".
    <rnd7> -случайная последовательность букв латинского алфавита, например "fea".

    После чего отправляется злоумышленнику.


    Методы борьбы
    Для удаления вредоносной программы необходимо:

    Удалить файл:
    %Documents and Settings%\%Current User%\Application Data\<rnd>\<rnd1>.exe

    Перезагрузить компьютер.
    Удалить значение параметра ключа системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "<rnd2>" = "%Documents and Settings%\%Current User%\Application Data\<rnd>\<rnd1>.exe"

    [HKCU\SOFRWARE\Microsoft\<rnd4>]
    "<rnd5>" = "hex:33,8f,a5,8e,69,eb,49,1a,d6,2a,ef,23,d9,be,c0, f1,33,8f,a5,8e,69,eb,\
    49,1a,d6,2a,ef,23,d9,be,c0,f1,81,6a,84,13,6a,54,c6 ,72,8e,f5,43,d2,17,99,8c,\
    3e,33,8f,a5,8e,69,eb,49,1a,d6,2a,ef,23,d9,be,c0,f1 ,33,8f,a5,8e,69,eb,49,1a,\
    d6,2a,ef,23,d9,be,c0,f1,33,8f,a5,8e,69,eb,49,1a,d6 ,2a,ef,23,d9,be,c0,f1,33,\
    8f,a5,8e,69,eb,49,1a,d6,2a,ef,23,d9,be,c0,f1,00,00 ,00,00"

    Восстановить настройки зон безопасности Internet Explorer.
    Очистить каталог Temporary Internet Files.
    Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt.

  2. 3 пользователя(ей) сказали cпасибо:
  3. #2
    Аватар для tyman

    Статус
    Offline
    Регистрация
    12.09.2013
    Сообщений
    310
    Репутация
    78 + / -
    Хакинг
    Я не встречал вируса использовавшего планировщик заданий, если бы он копировал себя в 2 места и при отсутствии одного заменял, было бы хорошо
    .|.

  4. #3
    TopicStarter
    Заблокирован по собственному желанию
    Аватар для S3ct0r

    Статус
    Offline
    Регистрация
    30.03.2014
    Сообщений
    459
    Репутация
    202 + / -
    Другое
    Цитата Сообщение от tyman Посмотреть сообщение
    Я не встречал вируса использовавшего планировщик заданий, если бы он копировал себя в 2 места и при отсутствии одного заменял, было бы хорошо
    Flame


Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  

Информация на сайте предоставлена исключительно в ознакомительных целях, использование знаний в противозаконных целях преследуется по закону! Администрация не несет ответственности за ваши деяния.