TrojanSpy.Win32.Small.q

Jest to ko艅 troja艅ski kradn膮cy dane dotycz膮ce u偶ytkownik贸w system贸w pozwalaj膮cych na wykonywanie p艂atno艣ci elektronicznych. Ma posta膰 pliku PE EXE o rozmiarze 5 184 bajt贸w (kompresja FSG).

Podczas instalacji trojan kopiuje si臋 do folderu Windows i tworzy w rejestrze systemowym klucz autorun:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"OLE"=nazwa kopii robaka

Nast臋pnie szkodnik rozpakowuje z w艂asnego kodu plik HookerDll.Dll (rozmiar 6 144 bajty). Zawiera on program przechwytuj膮cy znaki wprowadzane z klawiatury zainfekowanego komputera. Skradzione dane zapisywane s膮 w pliku krk.txt (tworzonym w folderze Windows). Funkcja przechwytuj膮ca dane z klawiatury aktywowana jest tylko wtedy, gdy nag艂贸wek okna przegl膮darki internetowej zawiera jeden z poni偶szych tekst贸w:

  • e-gold Account Access
  • HSBC Internet banking
  • Welcome to National Internet Banking
  • St.George Internet Banking Logon Page
  • Business Banking Online Login Page
  • MasterCard Connections Online - Welcome
  • St George Treasury: Client Logon
  • ANZ Internet Banking
  • SAAM Login
  • ANZ E*TRADE
  • FX Online Sphinx Login Page
  • https://www.tradeportal.proponix.com
  • BankSA Internet Banking Logon Page
  • Westpac Internet - Sign In
  • Westpac Internet Banking
  • NetBank - Logon
  • Commonwealth Securities Limited
  • Managed Funds and Superannuation Online - Login
  • Citibank Australia
  • Banesnet Particulares
  • Acceso a Banca por Internet
  • Wachovia Online Business Banking
  • Online Services - Account Login
  • Ventura County Business Bank Online Banking
  • PNC Bank - Account Link for Business
  • Fleet HomeLink Online Banking and Investing
  • e-Bullion: Account Login
  • :: WMcards.com :: Customer Support
  • moneybookers.com - and money moves
  • SunTrust Online Banking
  • Washington Mutual - Log On
  • Discover Card: Account Center Log In
  • OrbitPay.net - The Payment Processor Of Choice!
  • Banco Popular - Internet Banking
  • Nationwide Building Society - On-line banking
  • E*TRADE Log On
  • Accueil Bred.fr > Espace Bred.fr
  • Credit Lyonnais interactif
  • CyberMUT
  • Banque en ligne
  • Tous les produits et services
  • Banque Populaire
  • Home Page Banca Intesa
  • Collegamento a Scrigno
  • Barclaycard Merchant Services
  • American Express UK - Personal Finance
  • Merchant Administration
  • Wells Fargo - Small Business Home Page
  • Commercial Electronic Office Sign On
  • VeriSign Personal Trust Service
  • VeriSign Partner Manager
  • SUNCORP METWAY
  • iKobo Money Transfer
  • Welcome to Citi

W ten spos贸b trojan kranie has艂a dost臋pu do system贸w pozwalaj膮cych na wykonywanie p艂atno艣ci elektronicznych i wysy艂a je do swojego autora za po艣rednictwem wiadomo艣ci e-mail.