EbayRob.B

Новости

Тип:

Троян Трояны - вредоносные программы, выполняющие различные несанкционированные действия в системе. Это может быть, в частности, сбор и отправка информации, загрузка из интернета и выполнение другого кода, участие в DoS-атаках, рассылка спама. В отличие от вирусов и червей, трояны не распространяются самостоятельно. Как правило, скрывают своё присутствие в системе и загружаются автоматически после каждого запуска системы.

Операционная система:

Windows

Уровень:

низкий

Размер:

1.027.060 байт

Признаки

Перехватывает обращения к следующим сайтам:

  • carfax.com
  • cgi.ebay.com
  • cgi1.ebay.com
  • ecart.escrow.com
  • escrow.com
  • feedback.ebay.com
  • forums.ebay.com
  • motors.listings.ebay.com
  • motors.search.ebay.com
  • motors.shop.ebay.com
  • my.ebay.com
  • my.escrow.com
  • offer.ebay.com
  • pages.ebay.com
  • pages.motors.ebay.com
  • search.ebay.com
  • us.ebayobjects.com
  • www.carfax.com
  • www.escrow.com
  • wwwapps.ups.com

При попытке зайти на один из вышеуказанных сайтов, перенаправляет пользователяна подставную версию, где происходит сбор введенных реквизитов, если пользовательзарегистрирован на сайте. Перенаправление производится через файл hosts.

Периодически подключается к сайтам для отправки собранных данных:

  • liam[???]mule.com
  • viv[???]rton.com
  • bestb[???]money.com
  • kidsg[???]eyard.com
  • noric[???]line.com
  • than[???]uliam.com

Также отправляет данные по электронной почте по адресу mst[???]ler@parmanlubricants.com.

При запуске создает файл JWGPQIGS.EXE в системной директории Windows, а такжеприложение для просмотра изображений в директории Local Settings\Temp директорииDocuments and Settings текущего пользователя. Также создает файлы собственных настроек:CFG, RUN и TST в директории 95029910 в системной директории Windows.

Обеспечивает себе автозапуск, создавая следующую запись в реестре:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run \ Jsdljiqz = %sysdir%\jwgpqigs.exe

Регистрирует сервисы, создавая в реестре следующие записи:

  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Enum\ Root\ LEGACY_WXYFZOSZ
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Enum\ Root\ LEGACY_WXYFZOSZ
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ Wxyfzosz
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Wxyfzosz

Написан на Visual C++ 6.0.

ЗАЩИТА

  • Отключить функцию “Восстановление системы” (для Windows ME и XP)
  • Найти и остановить сервис, созданный вредоносной программой.
  • Полностью проверить систему антивирусом с обновлённой базой сигнатур
  • Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows. Предназначен для хищения реквизитов ряда сайтов, в частности, eBay, посредством перенаправления пользователя на сайты, имитирующие оригинальный. Информация отправляется атакующему на специальные сайты.

При запуске показывает галерею изображений автомобилей.