Тем: 4,654, Сообщений: 362,700, Пользователи: 160,984
На форуме: 28
|
|
||||||
 |
|
|
Опции темы | Опции просмотра | Language |
|
|
17.04.2010, 19:20
|
#1 |
|
Гуру
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,638 раз(а) в 4,437 сообщениях
Вес репутации: 49   |
Trojan-Banker. Win32.IntPro.a
Вредоносная программа, предназначенная для кражи конфиденциальной пользовательской информации программы Inter-PRO Client. Является приложением Windows (PE-EXE файл). Инсталляция При запуске программа извлекает из себя и копирует в системный каталог Windows следующие файлы: %System%\sfcfiles.dll %System%\drivers\sfc.sys Программа создает следующие ключи реестра, в которых в зашифрованном виде хранятся настройки программы: HKLM\SOFTWARE\Settings\CoreSettings HKLM\SOFTWARE\Settings\CryptoHash HKLM\SOFTWARE\Settings\DigitalProductId HKLM\SOFTWARE\Settings\DriveSettings HKLM\SOFTWARE\Settings\ErrorControl HKLM\SOFTWARE\Settings\kernel32 Распространение Для распостранения по сети программа использует уязвимость MS06-040. Также программа пытается подобрать пароли администратора для соседних компьютеров. Для распостаранения программа также копирует себя на съемные диски, создавая на них файлы autorun.inf. Деструктивная активность При успешном запуске, программа скачивает обновления по адресу: http://local-port-connect.com/ortew/page.php Находясь в адресном пространстве процесса “intpro.exe”, программа перехватывает конфиденциальные данные пользователя, используемые в программном комплексе Inter-PRO Client, и отсылает их на следующий электронный адрес злоумышленника, указанный в теле вредоносной программы: http://local-port-connect.com/ori/page.php Также программа содержит в себе драйвер sfc.sys, в задачу которого входит скрытие файлов и ключей реестра вредоносной программы.
__________________
|
|
|
Комбинированный вид
