Spy.Banker атакует клиентов «iBank 2»
В начале 2013 года в лабораторию компьютерной криминалистики и исследования вредоносного кода компании Group-IB поступил на анализ образ НЖМД по типичному инциденту – хищение крупной суммы у юридического лица через систему дистанционного банковского обслуживания. Результатами анализа зловреда поделится Трифонов Виталий, ведущий специалист по исследованию вредоносного кода Group-IB.
.....
При детальном анализе файловой системы был выявлен подозрительный каталог \Documents and Settings\<Имя пользователя>\Application Data\BIFIT_A.
В данном каталоге зарегистрированы файлы со следующими именами: «agent.exe», «all.policy», «bifit_a.cfg», «bifit_agent.jar», «javassist.jar». На момент исследования данные файлы ничем не детектировались, но уже с первого взгляда понятно, что они точно причастны к инциденту, что и подтвердилось данными из главной файловой таблицы (MFT).
«all.policy» представляет собой обычный текстовый файл с содержимым «grant { permission java.security.AllPermission; };»
«javassist.jar» – jar файл одноименной библиотеки – фреймворка для модификации или генерации байт-кода JAVA.
«bifit_a.cfg» – название данного файла говорит само за себя, конфигурационный файл исследуемого зловреда, а содержимое его пока зашифровано.
.....
новый вариант Spy.Banker обнаружен на техническом форуме eset (forum.esetnod32.ru) в разделе обнаружение вредоносного кода.
.....
При детальном анализе файловой системы был выявлен подозрительный каталог \Documents and Settings\<Имя пользователя>\Application Data\BIFIT_A.
В данном каталоге зарегистрированы файлы со следующими именами: «agent.exe», «all.policy», «bifit_a.cfg», «bifit_agent.jar», «javassist.jar». На момент исследования данные файлы ничем не детектировались, но уже с первого взгляда понятно, что они точно причастны к инциденту, что и подтвердилось данными из главной файловой таблицы (MFT).
«all.policy» представляет собой обычный текстовый файл с содержимым «grant { permission java.security.AllPermission; };»
«javassist.jar» – jar файл одноименной библиотеки – фреймворка для модификации или генерации байт-кода JAVA.
«bifit_a.cfg» – название данного файла говорит само за себя, конфигурационный файл исследуемого зловреда, а содержимое его пока зашифровано.
.....
новый вариант Spy.Banker обнаружен на техническом форуме eset (forum.esetnod32.ru) в разделе обнаружение вредоносного кода.
Полное имя C:\USERS\USER\APPDATA\ROAMING\IBANK2\AGENT.EXE
Имя файла AGENT.EXE
Тек. статус ВИРУС ПРОВЕРЕННЫЙ в автозапуске
Статус ВИРУС
Сигнатура Win32/Spy.Banker.ZNX [глубина совпадения 64(64), необх. минимум 8, максимум 64]
Сохраненная информация на момент создания образа
Статус ПРОВЕРЕННЫЙ в автозапуске
File_Id 51C2CCB4D2000
Linker 10.0
Размер 850264 байт
Создан 21.06.2013 в 10:34:26
Изменен 21.06.2013 в 10:34:26
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано IdentityMine Inc
Оригинальное имя a
Версия файла 1.0.0.1
Описание TODO: <Описание файла>
Производитель TODO: <Название компании>
Доп. информация на момент обновления списка
SHA1 899E37EE56147A82B369A9D76E2405CB40C2CCA8
MD5 7A2B7A536D8019E5DE658199E5C2F55F
Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-1540010175-3909366378-4166182032-1000\Software\Microsoft\Windows\CurrentVersion\Run\bifit_agent
bifit_agent C:\Users\User\AppData\Roaming\iBank2\agent.exe
при этом agent.exe имеет цифровую подпись IdentityMine Inc Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.