Trojan-Spy.Win32.Banker.z

Jest to trojan rejestruj膮cy znaki wprowadzane przez u偶ytkownika z klawiatury. Jego celem jest kradzie偶 r贸偶nych poufnych danych. Szkodnik przechwytuje informacje wprowadzane z klawiatury. Ma posta膰 pliku Windows PE EXE o rozmiarze 5 184 bajt贸w (kompresja FSG, rozmiar po rozpakowaniu - oko艂o 150 KB).

Instalacja

Po uruchomieniu trojan kopiuje sw贸j plik wykonywalny do foldera systemowego z oryginaln膮 nazw膮 pliku:

%WinDir%(oryginalna nazwa pliku trojana)

Trojan tworzy wpis w rejestrze systemowym zapewniaj膮cy mu automatyczne uruchamianie wraz z ka偶dym startem systemu:

[HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun]
"OLE"="(艣cie偶ka dost臋pu do pliku wykonywalnego trojana):"

Trojan rozpakowuje r贸wnie偶 nast臋puj膮cy plik DLL:

%WinDir%HookerDll.Dll

a nast臋pnie 艂aduje go.

Funkcje trojana

Po za艂adowaniu HookerDll.Dll zostan膮 przechwycone czynno艣ci wykonywane za pomoc膮 myszki i klawiatury. Umo偶liwia to trojanowi 艣ledzenie informacji wprowadzanych do okien, kt贸rych nag艂贸wki zawieraj膮 nast臋puj膮ce ci膮gi:

:: WMcards.com :: Customer Support
Acceso a Banca por Internet
Accueil Bred.fr > Espace Bred.fr
American Express UK - Personal Finance
ANZ E*TRADE
ANZ Internet Banking
Banco Popular - Internet Banking
Banesnet Particulares
BankSA Internet Banking Logon Page
Banque en ligne
Banque Populaire
Barclaycard Merchant Services
Business Banking Online Login Page
Citibank Australia
Collegamento a Scrigno
Commercial Electronic Office Sign On
Commonwealth Securities Limited
Credit Lyonnais interactif
CyberMUT
directshares
Discover Card: Account Center Log In
E*TRADE Log On
e-Bullion: Account Login
e-gold Account Access
Fleet HomeLink Online Banking and Investing
FX Online Sphinx Login Page
Home Page Banca Intesa
HSBC Internet banking
https://www.tradeportal.proponix.com
iKobo Money Transfer
Managed Funds and Superannuation Online - Login
MasterCard Connections Online - Welcome
Merchant Administration
moneybookers.com - and money moves
Nationwide Building Society - On-line banking
NetBank - Logon
Online Services - Account Login
online@hsbc
OrbitPay.net - The Payment Processor Of Choice!
PNC Bank - Account Link for Business
SAAM Login
St George Treasury: Client Logon
St.George Internet Banking Logon Page
SUNCORP METWAY
SunTrust Online Banking
Tous les produits et services
Ventura County Business Bank Online Banking
VeriSign Partner Manager
VeriSign Personal Trust Service
Wachovia Online Business Banking
Washington Mutual - Log On
Welcome to Citi
Welcome to National Internet Banking
Wells Fargo - Small Business Home Page
Westpac Internet - Sign In
Westpac Internet Banking

Informacje wprowadzane z klawiatury zapisywane s膮 w nast臋puj膮cym pliku:

%WinDir%krk.txt

i przesy艂ane cyberprzest臋pcy na nast臋puj膮cy adres:

netbank***@mailgate.ru

Trojan wykonuje r贸wnie偶 nast臋puj膮ce czynno艣ci:

  1. okresowo kasuje zawarto艣膰 schowka Windows
  2. usuwa z pami臋ci podr臋cznej adresy URL zawieraj膮ce ci膮g "Cookie".

Usuwanie trojana z zainfekowanego systemu

W celu usuni臋cia szkodnika z zainfekowanego systemu nale偶y wykona膰 nast臋puj膮ce czynno艣ci:

  1. U偶y膰 Mened偶era zada艅 w celu zako艅czenia procesu trojana
  2. Usun膮膰 oryginalny plik trojana (jego lokalizacja zale偶y od tego, w jaki spos贸b trojan przenikn膮艂 do maszyny ofiary)
  3. Usun膮膰 nast臋puj膮ce pliki:
    %WinDir%(oryginalna nazwa pliku trojana)
    %WinDir%HookerDll.Dll
    %WinDir%krk.txt
    
  4. Usun膮膰 nast臋puj膮cy wpis z rejestru:

    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    "OLE"="(艣cie偶ka dost臋pu do pliku wykonywalnego trojana):"

  5. Uaktualni膰 sygnatury zagro偶e艅 i wykona膰 pe艂ne skanowanie komputera (w tym celu mo偶na skorzysta膰 z darmowej wersji testowej oprogramowania Kaspersky Anti-Virus).
TrojanSpy.Win32.Banker.z (Kaspersky Lab), Keylog-Stawin (McAfee),   PWSteal.Tarno.D (Symantec),   Troj/Banker-Fam (Sophos),   TrojanSpy:Win32/Banker.Z (RAV),   PSW.Tofger.2.B (Grisoft),   Trojan Horse (Panda),   Win32/Spy.Banker.Z (Eset)