Ngày phát hiện: 21/12/2008
Chi tiết kỹ thuật
Trojan này được thiết kế để ăn cắp dữ liệu riêng tư, bí mật. Dung lượng của nó là 67072 bytes.
Cài đặt
Nó tự động copy file thực thi của nó vào thư mục hệ thống của Windows:
%System%\twex.exe
Để đảm bảo rằng Trojan được khởi động một cách tự động khi hệ thống khởi động lại, nó thêm một đường link đến file thực thi của nó trong hệ thống registry:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,"
Hoạt động
Trojan sẽ tiêm nhiễm đoạn code của nó vào trong tất cả các tiến trình trên máy nạn nhân và cài đặt các hàm API sau:
NtCreateFile
NtQueryDirectoryInformation
LdrLoadDll
LdrGetProcedureAddress
NtCreateThread
EndDialog
DestroyWindow
TranslateMessage
GetClipboardData
Trojan này sẽ dùng các hàm API ở trên để ghi dấu các hoạt động của ứng dụng WebMoney Keeper. Khi ứng dụng này được dùng để chứng thực user trên các trang thanh toán tiền, Trojan sẽ thu hoạch được những thông tin sau:
- Số tài khoản (WMID);
- Mật khẩu
- Mode
- Phiên bản WebMoney Keeper
- Tài khoản hiện tại của user
Trojan cũng tìm kiếm các lớp sau:
SunAwtDialog
javax.swing.Jframe
Những lớp này có phần headings như sau:
õîä â ñèñòåìó
[Vkhod v sistemy – “Enter system”]
Ñèíõðîíèçàöèÿ
ñ Áàíêîì [Sinkhronizatsiya s
Bankom – “Synchronization with bank”]
Nếu Trojan tìm kiếm trong windows, nó sẽ tìm kiếm các folder bao gồm các chương trình phụ thuộc vào những cửa sổ này cho những file sau:
prv_key.pfx
sign.cer
*.jks
*.db3
*.key
*.cnf
Nó tự động nén chúng vào:
%Temp%\interpro.cab
Nó cũng thu thập những dữ liệu từ clipboard khi nó được copy đến một cửa sổ và chặn dữ liệu nhập vào thông qua bàn phím
Nó chặn các yêu cầu HTTP từ các địa chỉ sau:
https://ibank*.ru/*
https://bc.nsk.*.ru/*
https://www.faktura.ru/enter.jsp?site=
Nó trích ra giá trị của các trường của tất cả các trang web từ những dữ liệu thu thập được bằng cách sử dụng những mặt nạ sau:
*<select
*<option selected
*<input *value="
từ mã nguồn của các trang web.
Nó gửi những dữ liệu thu thập được đến một site của những kẻ tấn công ở xa.
Hướng dẫn xóa bỏ
Nếu máy tính của bạn không có một trình antivirus được cập nhật thường xuyên, hoặc không có một giải pháp antivirus hiệu quả, thì những hướng dẫn dưới đây sẽ giúp xoá chương trình nguy hiểm này:
1. Sử dụng Task Manager để xác định tiến trình của chương trình nguy hiểm
2. Xoá file trojan gốc (đường dẫn phụ thuộc vào cách chương trình tiêm nhiễm vào hệ thống như thế nào.)
3. Thay đổi giá trị của các khoá registry sau:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe, "
4. Khởi động lại máy tính
5. Xoá file sau:
%System%\twex.exe
6. Xoá bỏ toàn bộ nội dung thư mục tạm (%Temp%)
7. Cập nhật cơ sở dữ liệu cho trình antivirus của bạn và thực hiện việc quét "full scan".