Добро пожаловать на независимую площадку Stop Malware.
Показано с 1 по 1 из 1

Тема: Rootkit.Win64.Banker.a

Понравилась статья? Поделись с друзьями!
  1. #1
    Аватар для x-sis
    x-sis
    x-sis вне форума

    Местный
    Регистрация
    11.07.2011
    Адрес
    Россия, Волгоград
    Сообщений
    185
    Поблагодарил(а)
    52
    Благодарностей
    124

    Rootkit.Win64.Banker.a

    Технические детали

    Вредоносная программа, предназначенная для удаления компонентов защитного ПО Gbuster plugin для Internet Explorer. Выполнена в виде драйвера ядра NT (kernel mode driver). Работает на 64-битных версиях ОС Windows. Имеет размер 25600 байт.
    Инсталляция

    Исполняемый файл вредоносной программы находится в каталоге драйверов Windows со следующим именем:

    %windir%\SysWOW64\drivers\plusdriver64.sys

    Автоматический запуск руткита при каждой загрузке Windows обеспечивает служба с именем:

    driverusbplus

    Также инсталлятор руткита отключает проверку цифровых подписей для модулей режима ядра в текущей загрузочной конфигурации, выполняя следующую команду:

    bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS

    А так же включает режим разрешающий загрузку драйверов, подписанных тестовыми сертификатами, выполняя следующую команду.

    bcdedit.exe -set TESTSIGNING ON

    Таким образом руткит обходит проверку цифровой подписи драйверов режима ядра.


    Деструктивная активность

    При запуске руткит пытается удалить следующие файлы:

    \Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\gbiehAbn.dll
    \Device\Harddisk0\Partition2\Program Files\GbPlugin\gbiehAbn.dll
    \Device\Harddisk0\Partition2\Program Files (x86)\GbPlugin\gbiehAbn.dll

    \Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\abn.gpc
    \Device\Harddisk0\Partition2\Program Files (x86)\GbPlugin\abn.gpc
    \Device\Harddisk0\Partition2\Program Files\GbPlugin\abn.gpc

    \Device\Harddisk0\Partition2\windows\Downloaded Program Files\ABN.inf
    \Device\Harddisk0\Partition2\windows\Downloaded Program Files\ABN.gpc
    \Device\Harddisk0\Partition2\windows\Downloaded Program Files\gbiehabn.dll
    \Device\Harddisk0\Partition2\windows\Downloaded Program Files\GbPluginABN.inf

    \Device\Harddisk0\Partition2\windows\Downloaded Program Files\gbpdist.dll
    \Device\Harddisk0\Partition2\windows\Downloaded Program Files\gbiehAbn.dll

    \Device\Harddisk0\Partition2\windows\system32\driv ers\gbpkm.sys

    \Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\gbieh.gmd
    \Device\Harddisk0\Partition2\Program Files\GbPlugin\gbieh.gmd
    \Device\Harddisk0\Partition2\Program Files (x86)\GbPlugin\gbieh.gmd

    \Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\bb.gpc
    \Device\Harddisk0\Partition2\Program Files\GbPlugin\bb.gpc
    \Device\Harddisk0\Partition2\Program Files (x86)\bb.gpc

    \Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\gbieh.dll
    \Device\Harddisk0\Partition2\Program Files\GbPlugin\gbieh.dll
    \Device\Harddisk0\Partition2\Program Files (x86)\gbieh.dll

    \Device\Harddisk0\Partition2\windows\Downloaded Program Files\gbieh.gmd

    \Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\Sv.exe
    \Device\Harddisk0\Partition2\Program Files\GbPlugin\Sv.exe
    \Device\Harddisk0\Partition2\Program Files (x86)\GbPlugin\Sv.exe

    \Device\Harddisk0\Partition2\Arquivos de programas\GbPlugin\gbpdist.dll
    \Device\Harddisk0\Partition2\Program Files\GbPlugin\gbpdist.dll
    \Device\Harddisk0\Partition2\Program Files (x86)\gbpdist.dll

    А так же следующие ключи реестра:

    \Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\GbPluginAbn
    \Registry\Machine\Software\Classes\CLSID\{2E3C3651-B19C-4DD9-A979-901EC3E930AF}
    \Registry\Machine\Software\Classes\CLSID\{3F888695-9B41-4B29-9F44-6B560E464A16}
    \Registry\Machine\Software\Classes\CLSID\{A3717295-941D-416F-9384-ED1736729F1C}
    \Registry\Machine\Software\Classes\CLSID\{AF45043F-819C-47CC-9B37-94DBE50A6E63}
    \Registry\Machine\Software\Classes\TypeLib\{049786 12-A774-406D-AF1B-F44E2838D72A}
    \Registry\Machine\Software\Classes\TypeLib\{9CA261 C7-D518-4987-B434-10A1B243C8B8}
    \Registry\Machine\Software\Classes\TypeLib\{AD764B E6-87A7-46A1-8C55-A712D079E749}

    \Registry\Machine\System\CurrentControlSet\Service s\GbpKm
    \Registry\Machine\System\ControlSet001\Services\Gb pKm


    Также руткит добавляет в системный файл «%system%\drivers\etc\hosts» следующие строки

    216.***.133.236 www2.bancobrasil.com.br
    216.***.133.237 aapj.bb.com.br
    127.0.0.1 localhost
    Hosts doWindows
    Exemplo:
    127.0.0.1 www.microsoft.com.br


    Таким образом перенаправляя пользователя на фишинговые страницы при работе с веб-сайтами банка Banco do Brasil.


    Рекомендации по удалению

    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

    1. Удалить файл:




    %windir%\SysWOW64\drivers\plusdriver64.sys

    2. Удалить службу с именем

    driverusbplus

    3. Изменить модифицированный файл «%System%\drivers\etc\hosts», используя любое стандартное приложение (например, «Блокнот» — «Notepad»). Требуется удалить все добавленные троянцем строки. Оригинальный файл hosts выглядит следующим образом:

    # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
    #
    # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
    #
    # Этот файл содержит сопоставления IP-адресов именам узлов.
    # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
    # находиться в первом столбце, за ним должно следовать соответствующее имя.
    # IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
    #
    # Кроме того, в некоторых строках могут быть вставлены комментарии
    # (такие, как эта строка), они должны следовать за именем узла и отделяться
    # от него символом '#'.
    #
    # Например:
    #
    # 102.54.94.97 rhino.acme.com # исходный сервер
    # 38.25.63.10 x.acme.com # узел клиента x

    127.0.0.1 localhost


    4. Восстановить параметры загрузки, выполнив следующие команды:

    bcdedit /deletevalue loadoptions
    bcdedit.exe -set TESTSIGNING OFF


    5. Произвести полную проверку компьютера Антивирусным ПО с обновленными базами.

    Источник: http://www.securelist.com/ru/descrip...Win64.Banker.a
    Последний раз редактировалось x-sis; 06.08.2011 в 01:07.
    http://ProvisionSecurity.ru - об информационных технологиях, о жизни, обо всём.

 

 

Похожие темы

  1. Trojan.PWS.Banker.61079 на номер +79874380851
    от Ксения в разделе Винлоки - анализ, рассмотрение и коды разблокировки
    Ответов: 0
    Последнее сообщение: 12.11.2011, 21:32

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •