Размещено 24.01.2013 15:14:43
Добрый день.
У меня стоит iBank2 - клиент-банк.
Недавно появилась ошибка при входе в iBank2: "Transport not found: GET_RESOURCES".
В поддержке ООО Бифит сообщили, что в логах Java обнаружена подгрузка чужого кода.
Файл "BIFIT_A\agent.exe" копирует себя в папку "%USERPROFILE%\Application Data\BIFIT_A", копирует "itcspea.dll" в "%WINDOWS%\system32" и самоудаляется. Что ещё делает не знаю. Зачем-то он обращается в "C:\Program Files\InfoteCS", где у меня установлен какой-то криптопровайдер. На VirusTotal это файл палится только Comodo как TrojWare.Win32.Shiz.SRI. Остальные молчат.
Вся папка "%USERPROFILE%\Application Data\BIFIT_A" в архиве "bifit_a.rar" с паролем "virus".
Я мониторил саму java.exe. Она так же обращается в каталог BIFIT_A (к *.jar пакетам), к "system32\itcspea.dll" и к "C:\AUTOEXEC.BAT". Так же к другим dll в system32.
Для мониторинга java.exe и agent.exe я использовал ProcessMonitor из пакета Sysinternals Suite. Все логи в архиве Logs.rar:
- "Process Monitor Sysinternals On close.PML" - Лог java.exe. При закрытии зараженного java-апплета.
- "Process Monitor Sysinternals On Loading - With Error.PML" - Лог java.exe. При нажатии на кнопку "Новый клиент" в нижнем левом углу и появлении ошибки "Transport not found..."
- "Process Monitor Sysinternals Total.PML" - Лог java.exe. Всеобщий лог - от запуска апплета, ошибки "Transport..." и закрытия апплета.
- "process monitor sysinternals agent startup.pml" - Лог agent.exe. Он запускается, самоудаляется и т.д.
- "Process Monitor Sysinternals After delete BIFIT_A with crash 2.PML" - Лог java.exe. После удаления папки "%USERPROFILE%\Application Data\BIFIT_A".
- "Process Monitor Sysinternals After delete BIFIT_A with crash.PML" - Лог java.exe. После удаления папки "%USERPROFILE%\Application Data\BIFIT_A".
После удаления каталога "%USERPROFILE%\Application Data\BIFIT_A" он больше не появляется (его нет и после перезагрузки ПК), однако java-апплеты валятся с ошибкой. Думаю, первоначально вирус мог установится вместе с программой "C:\Program Files\InfoteCS".
"system32\*.DLL", к которым обращался "java.exe" в архиве "dlls.rar".
Файлы "system32\*", к которым обращался "agent.exe" в архиве "bifit_a_system32.rar".
Страница системы iBank2: .
Ну вроде все...
Очень надеюсь на вашу помощь!
У меня стоит iBank2 - клиент-банк.
Недавно появилась ошибка при входе в iBank2: "Transport not found: GET_RESOURCES".
В поддержке ООО Бифит сообщили, что в логах Java обнаружена подгрузка чужого кода.
Файл "BIFIT_A\agent.exe" копирует себя в папку "%USERPROFILE%\Application Data\BIFIT_A", копирует "itcspea.dll" в "%WINDOWS%\system32" и самоудаляется. Что ещё делает не знаю. Зачем-то он обращается в "C:\Program Files\InfoteCS", где у меня установлен какой-то криптопровайдер. На VirusTotal это файл палится только Comodo как TrojWare.Win32.Shiz.SRI. Остальные молчат.
Вся папка "%USERPROFILE%\Application Data\BIFIT_A" в архиве "bifit_a.rar" с паролем "virus".
Я мониторил саму java.exe. Она так же обращается в каталог BIFIT_A (к *.jar пакетам), к "system32\itcspea.dll" и к "C:\AUTOEXEC.BAT". Так же к другим dll в system32.
Для мониторинга java.exe и agent.exe я использовал ProcessMonitor из пакета Sysinternals Suite. Все логи в архиве Logs.rar:
- "Process Monitor Sysinternals On close.PML" - Лог java.exe. При закрытии зараженного java-апплета.
- "Process Monitor Sysinternals On Loading - With Error.PML" - Лог java.exe. При нажатии на кнопку "Новый клиент" в нижнем левом углу и появлении ошибки "Transport not found..."
- "Process Monitor Sysinternals Total.PML" - Лог java.exe. Всеобщий лог - от запуска апплета, ошибки "Transport..." и закрытия апплета.
- "process monitor sysinternals agent startup.pml" - Лог agent.exe. Он запускается, самоудаляется и т.д.
- "Process Monitor Sysinternals After delete BIFIT_A with crash 2.PML" - Лог java.exe. После удаления папки "%USERPROFILE%\Application Data\BIFIT_A".
- "Process Monitor Sysinternals After delete BIFIT_A with crash.PML" - Лог java.exe. После удаления папки "%USERPROFILE%\Application Data\BIFIT_A".
После удаления каталога "%USERPROFILE%\Application Data\BIFIT_A" он больше не появляется (его нет и после перезагрузки ПК), однако java-апплеты валятся с ошибкой. Думаю, первоначально вирус мог установится вместе с программой "C:\Program Files\InfoteCS".
"system32\*.DLL", к которым обращался "java.exe" в архиве "dlls.rar".
Файлы "system32\*", к которым обращался "agent.exe" в архиве "bifit_a_system32.rar".
Страница системы iBank2: .
Ну вроде все...
Очень надеюсь на вашу помощь!
Изменено: LGFox - 24.01.2013 16:22:10
(Просьба модератора)
