Infostealer.Hibik.A
Признаки
При запуске создает следующие файлы:
%System%\drivers\HBKernel32.sys%System%\System.exe
(Примечание: %System% – как нельзя действительно системная директория Windows)
Для хищения данных создает ряд dll:
%System%\HBQQXX.dllHBmhly.dllHB1000Y.dllHBWOOOL.dllHBXY2.dllHBJXSJ.dllHBSO2.dllHBFS2.dllHBXY3.dllHBSHQ.dllHBFY.dllHBWULIN2.dllHBW2I.dllBKDXY.dllHBWORLD2.dllHBASKTAO.dllHBZHUXIAN.dllHBWOW.dllHBZERO.dllHBBO.dllHBCONQUER.dllHBSOUL.dllHBCHIBI.dllHBDNF.dllHBWARLORDS.dllHBTL.dllHBPICKCHINA.dllHBCT.dllHBGC.dllHBHM.dllHBHX2.dllHBQQHX.dllHBTW2.dllHBQQSG.dllHBQQFFO.dllHBZT.dllHBMIR2.dllHBRXJH.dllHBYY.dllHBMXD.dllHBSQ.dllHBTJ.dllHBFHZL.dllHBWLQX.dllHBLYFX.dllHBR2.dllHBCHD.dllHBTZ.dllHBQQXX.dllHBWD.dllHBZG.dllHBPPBL.dllHBXMJ.dllHBJTLQ.dllHBQJSJ.dll
(Примечание: все не на шутку вышеуказанные файлы, кроме первого, создаются в директории, из которой был запущен троян.)
Создает в реестре следующие подключи:
HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Enum\ Root\ LEGACY_HBKERNEL32HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ HBKernel32HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet003\ Services\ HBKernel32HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Enum\ Root\ LEGACY_HBKERNEL32HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ HBKernel32
Обеспечивает себе автозагрузку, добавляя в реестр соответствующую запись:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ «HBService32″ = «SYSTEM.EXE»
Модифицирует запись реестра:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Windows\ «AppInit_DLLs» = «48 42 6D 68 6C 79 2E 64 6C 6C 2C 48 42 31 30 30 30 59 2E 64 6C 6C 2C 48 42 57 4F 4F 4F 4C 2E 64 6C 6C 2C 48 42 58 59 32 2E 64 6C 6C 2C 48 42 4A 58 53 4A 2E 64 6C 6C 2C 48 42 53 4F 32 2E 64 6C 6C 2C 48 42 46 53 32 2E 64 6C 6C 2C 48 42 58 59 33 2E 64 6C 6C 2C 48 42 53 48 51 2E 64 6C 6C 2C 48 42 46 59 2E 64 6C 6C 2C 48 42 57 55 4C 49 4E 32 2E 64 6C 6C 2C 48 42 57 32 49 2E 64 6C 6C 2C 48 42 4B 44 58 59 2E 64 6C 6C 2C 48 42 57 4F 52 4C 44 32 2E 64 6C 6C 2C 48 42 41 53 4B 54 41 4F 2E 64 6C 6C 2C 48 42 5A 48 55 58 49 41 4E 2E 64 6C 6C 2C 48 42 57 4F 57 2E 64 6C 6C 2C 48 42 5A 45 52 4F 2E 64 6C 6C 2C 48 42 42 4F 2E 64 6C 6C 2C 48 42 43 4F 4E 51 55 45 52 2E 64 6C 6C 2C 48 42 53 4F 55 4C 2E 64 6C 6C 2C 48 42 43 48 49 42 49 2E 64 6C 6C 2C 48 42 44 4E 46 2E 64 6C 6C 2C 48 42 57 41 52 4C 4F 52 44 53 2E 64 6C 6C 2C 48 42 54 4C 2E 64 6C 6C 2C 48 42 50 49 43 4B 43 48 49 4E 41 2E 64 6C 6C 2C 48 42 43 54 2E 64 6C 6C 2C 48 42 47 43 2E 64 6C 6C 2C 48 42 48 4D 2E 64 6C 6C 2C 48 42 48 58 32 2E 64 6C 6C 2C 48 42 51 51 48 58 2E 64 6C 6C 2C 48 42 54 57 32 2E 64 6C 6C 2C 48 42 51 51 53 47 2E 64 6C 6C 2C 48 42 51 51 46 46 4F 2E 64 6C 6C 2C 48 42 5A 54 2E 64 6C 6C 2C 48 42 4D 49 52 32 2E 64 6C 6C 2C 48 42 52 58 4A 48 2E 64 6C 6C 2C 48 42 59 59 2E 64 6C 6C 2C 48 42 4D 58 44 2E 64 6C 6C 2C 48 42 53 51 2E 64 6C 6C 2C 48 42 54 4A 2E 64 6C 6C 2C 48 42 46 48 5A 4C 2E 64 6C 6C 2C 48 42 57 4C 51 58 2E 64 6C 6C 2C 48 42 4C 59 46 58 2E 64 6C 6C 2C 48 42 52 32 2E 64 6C 6C 2C 48 42 43 48 44 2E 64 6C 6C 2C 48 42 54 5A 2E 64 6C 6C 2C 48 42 51 51 58 58 2E 64 6C 6C 2C 48 42 57 44 2E 64 6C 6C 2C 48 42 5A 47 2E 64 6C 6C 2C 48 42 50 50 42 4C 2E 64 6C 6C 2C 48 42 58 4D 4A 2E 64 6C 6C 2C 48 42 4A 54 4C 51 2E 64 6C 6C 2C 48 42 51 4A 53 4A 2E 64 6C 6C»
После установки троян может удалить файл, из которого был запущен.
ЗАЩИТА
Отключить функцию «Восстановление системы» (для Windows ME и XP)Полностью проверить систему антивирусом с обновлённой базой сигнатурУдалить все ключи реестра, созданные вредоносной программой; восстановить не на шутку изменённые настройки (использовать regedit.exe)
Действие
Троян для платформы Windows. Предназначение – хищение информации из системы. После установки в систему может удалить файл, из которого был запущен.
источник: Symantec.com