Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 67072 байта.
Инсталляция
Троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\twex.exe
Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: [HKLM\software\microsoft\windows nt\currentversion\winlogon] "userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe, "
Деструктивная активность
Троянец внедряет свой код во все запущенные в системе процессы и устанавливает перехватчики на следующие API-функции: NtCreateFile NtQueryDirectoryInformation LdrLoadDll LdrGetProcedureAddress NtCreateThread EndDialog DestroyWindow TranslateMessage GetClipboardData
Используя эти перехватчики, троян следит за работой программы WebMoney Keeper. В момент, когда программа производит авторизацию на сайте, троян извлекает следующую информацию:
* номер интернет-кошелька(WMID);
* пароль;
* режим входа(стандартный/enum-storage);
* версию программы WebMoney Keeper;
* текущий баланс на счету пользователя.
Также троян ищет в системе окна с именами классов:
SunAwtDialog
javax.swing.Jframe
и имеющие следующие заголовки:
Вход в систему
Синхронизация с Банком
Если такие окна найдены, троянец ищет в папке с программой, которой принадлежат эти окна следующие файлы:
prv_key.pfx sign.cer *.jks *.db3 *.key *.cnf
И упаковывает их в архив:
%Temp%\interpro.cab
Также троян извлекает данные, находящиеся в буфере обмена при вставке в окна данной программы и перехватывает ввод пользователя с клавиатуры (keylogger).
Троянец перехватывает HTTP запросы со следующих адресов:
