Trojan-Spy.Win32.Banker.cmb

Trojan ten ma na celu kradzie偶 poufnych informacji. Ma posta膰 pliku PE EXE o rozmiarze 34304 bajt贸w (zosta艂 spakowany za pomoc膮 specjalnie stworzonego kompresora).

Trojan kopiuje si臋 do:

%sysdir%
tos.exe

z atrybutami systemowymi, "tylko do odczytu" oraz archiwalnymi.

Podczas kopiowania dodaje na koniec swojego pliku kod 艣mieci losowo wybranych rozmiar贸w w celu utrudnienia wykrywania. Nie modyfikuje nag艂贸wka PE.

Tworzy nast臋puj膮cy folder:

%sysdir%wsnpoem (hidden, system attributes)

%sysdir%wsnpoemaudio.dll - data file 
%sysdir%wsnpoemvideo.dll - config file 

Trojan dodaje si臋 do nast臋puj膮cych kluczy rejestru:

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
userinit="%sysdir% tos.exe"

[HKEY_USERSS-1-5-18SoftwareMicrosoftWindowsCurrentVersionRun]
userinit="%sysdir% tos.exe"

Szkodnik modyfikuje:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
Value "Userinit":

z

"%sysdir%userinit.exe,"

na

"%sysdir%userinit.exe,%sysdir%
tos.exe,"

Trojan wstrzykuje si臋 do winlogon.exe i od tego momentu funkcjonuje jako uchwyt.

Tworzy nast臋puj膮cy muteks:

__SYSTEM__64AD0625__

w celu zaznaczenia swojej obecno艣ci w systemie.

Funkcje szkodnika

Trojan kontaktuje si臋 z 81.95.148.244 w celu pobrania swojego pliku konfiguracyjnego, sprawdzania uaktualnie艅 i przesy艂ania zebranych danych.

Uzyskuje dost臋p do PStore w celu wyszukania hase艂.

Ponadto monitoruje aktywno艣膰 sieciow膮 zwi膮zan膮 z:

*Tan* 
*Schmetterling* 
*berweisung* 
*Amount* 
*tanentry* 
*RESULT2* 
*citibank.de/* 
I2=*&H0=DT 
*banking.*/cgi/ueber*.cgi* 
bankofamerica.com/cgi-bin/ias/*/GotoWelcome 
https://onlineeast.bankofamerica.com/cgi-bin/ias/*/GotoWelcome 
CustomerServiceMenuEntryPoint?custAction=75 

Trojan przechwytuje informacje wprowadzane za po艣rednictwem POST przez przegl膮dark臋 w celu kradzie偶y ze stron danych dotycz膮cych login贸w.

Przechwycone dane przesy艂ane s膮 za po艣rednictwem FTP.

Usuwanie szkodnika z zainfekowanego systemu

  1. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus)