Trojan-Spy.Win32.Banker.cmb
Trojan kopiuje si臋 do:
%sysdir% tos.exe
z atrybutami systemowymi, "tylko do odczytu" oraz archiwalnymi.
Podczas kopiowania dodaje na koniec swojego pliku kod 艣mieci losowo wybranych rozmiar贸w w celu utrudnienia wykrywania. Nie modyfikuje nag艂贸wka PE.
Tworzy nast臋puj膮cy folder:
%sysdir%wsnpoem (hidden, system attributes) %sysdir%wsnpoemaudio.dll - data file %sysdir%wsnpoemvideo.dll - config file
Trojan dodaje si臋 do nast臋puj膮cych kluczy rejestru:
[HKEY_USERSS-1-5-18SoftwareMicrosoftWindowsCurrentVersionRun]
userinit="%sysdir%
tos.exe"
userinit="%sysdir%
tos.exe"
Szkodnik modyfikuje:
Value "Userinit":
z
"%sysdir%userinit.exe,"
na
"%sysdir%userinit.exe,%sysdir% tos.exe,"
Trojan wstrzykuje si臋 do winlogon.exe i od tego momentu funkcjonuje jako uchwyt.
Tworzy nast臋puj膮cy muteks:
__SYSTEM__64AD0625__
w celu zaznaczenia swojej obecno艣ci w systemie.
Trojan kontaktuje si臋 z 81.95.148.244 w celu pobrania swojego pliku konfiguracyjnego, sprawdzania uaktualnie艅 i przesy艂ania zebranych danych.
Uzyskuje dost臋p do PStore w celu wyszukania hase艂.
Ponadto monitoruje aktywno艣膰 sieciow膮 zwi膮zan膮 z:
*Tan* *Schmetterling* *berweisung* *Amount* *tanentry* *RESULT2* *citibank.de/* I2=*&H0=DT *banking.*/cgi/ueber*.cgi* bankofamerica.com/cgi-bin/ias/*/GotoWelcome https://onlineeast.bankofamerica.com/cgi-bin/ias/*/GotoWelcome CustomerServiceMenuEntryPoint?custAction=75
Trojan przechwytuje informacje wprowadzane za po艣rednictwem POST przez przegl膮dark臋 w celu kradzie偶y ze stron danych dotycz膮cych login贸w.
Przechwycone dane przesy艂ane s膮 za po艣rednictwem FTP.
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus)