Компьютерный вирус Trojan.Win32.Jorik.Carberp.hb

Программа-шпион, предназначенная для похищения конфиденциальных данных пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 233867 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 242 КБ. Написана на C++.

Инсталляция

После активации троянец снимает установленные перехватчики в System Service Descriptor Table (SSDT) .
Далее копирует свое тело в каталог автозагрузки текущего пользователя Windows:

%Documents and Settings%\%Current User%\Start Menu\Programs\Startup\igfxtray.exe

Таким образом, копия троянца будет автоматически запускаться при каждом следующем старте системы. Время и дата создания файла устанавливается как у файла:

%System%\smss.exe

Для скрытия своего исполняемого файла, троянец перехватывает функцию:

NtQueryDirectoryFile

Деструктивная активность

Троянец запускает копию системного файла:

%WinDir%\explorer.exe

и внедряет в его адресное пространство вредоносный код. Если внедрить вредоносный код не удалось, ищет окно с именем класса "Shell_TrayWnd" (данный класс окна соответствует процессу "explorer.exe") или получает список всех процессов и сравнивает хеши имен процессов с хешом процесса "explorer.exe", прописанным в теле троянца. Внедренный код, в свою очередь, запускает несколько экземпляров процесса "svchost.exe", внедряя в его адресное пространство вредоносный код реализующий описанный ниже функционал. Оригинальный файл троянца при этом удаляется.
Для внедрения вредоносного кода в адресное пространство запускаемых процессов в системе устанавливает перехватчик на следующую функцию:

NtResumeThread

Троянец держит открытый хэндл на исполняемый файл:

%Documents and Settings%\%Current User%\Start Menu\Programs\Startup\igfxtray.exe

из процесса "svchost.exe", в который был инжектирован вредоносный код. Троянец соединяется со следующим управляющим сервером злоумышленника:

wwwii.ru

Для противодействия антивирусным продуктам и бот-сетям конкурентов троянец загружает с сервера следующие плагины:

wwwii.ru/cfg/stopav.psd
wwwii.ru/cfg/miniav.psd

Загруженные плагины сохраняются под следующими именами:

%Documents and Settings%\%Current User%\%ApplicationData%\igfxtray.dat
%Documents and Settings%\%Current User%\%ApplicationData%\igfxtrayhp.dat

Также с управляющего сервера загружаются дополнительные файлы:

wwwii.ru/get/key.html
wwwii.ru/<rnd1>.<rnd2>

где <rnd1> - случайная последовательность букв, например "qlfuhdisozhblucrrm" или "yojxmoixqogbprreocmbv". <rnd2>- одно из следующих расширений:

.phtml
.php3
.phtm
.inc
.7z
.cgi
.pl
.doc
.rtf
.tpl
.rar

Загруженные файлы сохраняются под именем "fi.dat":

%Documents and Settings%\%Current User%\%ApplicationData%\KYL\fi.dat

На момент создания описания дополнительные модули не загружались. При помощи вредоносного кода внедренного в адресное пространство копий процесса"svchost.exe"троянец может выполнять следующий деструктивный функционал:

обновлять свой оригинальный файл;
перехватывать весь исходящий трафик с целью похищения конфиденциальных данных пользователя, устанавливая системные перехватчики на следующие функции:
```
InternetCloseHandle
InternetQueryDataAvailable
InternetReadFile
InternetReadFileExA
InternetReadFileExW
HttpSendRequestA
HttpSendRequestW
HttpSendRequestExA
HttpSendRequestExW
```
собирать информацию о зараженной системе:
- имя пользователя и имя компьютера;
- полную информацию об установленном процессоре;
- профиль оборудования;
- версию ОС;
- серийный номер тома системного диска;
- IP адрес;
- физический адрес.
похищать cookies из браузеров:
```
Microsoft Internet Explorer
Opera
Firefox
```
похищать конфиденциальные данные пользователя если ресурс, с которым работает пользователь содержит следующие строки:
```
*bsi.dll*
*paypal.com*
*ibc*
```
делать снимки экрана, во время работы с Интернет-банкингом, используя свою внутреннюю библиотеку. При этом готовый снимок сжимается в формате "JPEG" и сохраняется в каталоге временных файлов текущего пользователя Windows под именем временного файла:
```
%Temp%\<tmp>.tmp
```
где <tmp>-случайная цифробуквенная последовательность. После чего файл сохраняется под именем "screen.jpeg":
```
%Temp%\screen.jpeg
```
вести лог клавиатурного ввода;
похищает данные из платежной системы Cyberplat;
похищает реквизиты пользователей от систем Интернет-банкинга, торговых платформ и ДБО (Дистанционное банковское обслуживание):
```
РайффайзенБанк
Faktura
iBank
PSB
BSS
cyberplat
BlackwoodPRO
FinamDirect
GrayBox
MbtPRO
Laser
LightSpeed
LTGroup
Mbt
ScotTrader
SaxoTrader
```
также похищает комплект информации, состоящий из следующих ключевых файлов:
```
self.cer
secrets.key
cert.pfx
sign.cer
prv_key.pfx
```
Похищенная информация сохраняется в файле:
```
%Temp%\<tmp>.tmp
```
где <tmp>-случайная цифробуквенная последовательность. после чего записывается в файл:
```
%Temp%\Information.txt
```
файл отчета имеет следующий формат:
```
Program: <имя_программы>
Wnd Name: <имя_активного_окна>
Server: <адрес>:<порт>
Password: <пароль>
Certificate: <сертификат>
ClipBuffer: <история_вводимых_пользователем_символов>
```
Используя функции из библиотеки "cabinet.dll", троянец создает cab–архив, с именем
```
%Temp%\CAB<tmp>.tmp
```
где <tmp>-случайная цифробуквенная последовательность. в котором сохраняет файлы с похищенными данными. Затем троянец зашифровывает файл и отправляет на сервер злоумышленника. После отправки данных файл удаляется.

Антибаннер