Trojan-Spy.Win32.Banker.a

Троянская программа-шпион, написана на ассемблере под Windows, упакована FSG. Размер файла — 4736 байт.

Trojan-Spy.Win32.Banker.a («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Banker.a («Лаборатория Касперского»), Trojan.PWS.Pentas (Doctor Web), Troj/Banker-Fam (Sophos), TrojanSpy:Win32/Agent.D (RAV), TR/Bytever.A.DLL (H+BEDV), PSW.Agent.B (Grisoft), Trojan.Spy.Agent.D (SOFTWIN), TrojanSpy.Agent.D-dll (ClamAV), Win32/Spy.Agent.D (Eset)

Троянская программа-шпион, написана на ассемблере под Windows, упакована FSG. Размер файла — 4736 байт.

Инсталляция

Копирует себя в директорию Windows. Добавляет соответствующий ключ в реестр для автозагрузки:


[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run]
 "OLE"=<имя файла>

Создает в директории Windows динамическую библиотеку с именем HookerDll.Dll и длиной файла 5120 байт.

Действия

Собирает нажатия клавиш в окнах, заголовки которых содержат любое слово из списка:


1mdc
1MDC
Banesto
Bank of America
bank of montreal
Bank of Montreal
Bank One
Bank West
bankwest
BankWest
bendigo
Bendigo
CAIXA
Chase
cibc
CIBC
Citibank
commbank
Commonwealth
desjardins
Discover Card
e-bendigo
e-Bendigo
e-bullion
e-Bullion
e-gold
evocash
EVOCash
EVOcash
goldgrams
goldmoney
GoldMoney
hyperwallet
HyperWallet
intgold
INTGold
INTgold
macquarie
Macquarie
National Internet Banking
NetBank
paypal
PayPal
Pecun!x
pecunix
Pecunix
President Choice
president's choice
President's Choice
Royal Bank
royalbank
RoyalBank
Scotia Bank
scotiabank
ScotiaBank
Sun Trust
Suncorp
suncorpmetway
SunTrust
TD Canada Trust
TD Waterhouse
TD Waterhouse
tdwaterhouse
Wachovia
Washington Mutual
Wells Fargo
Westpac

Сохраняет их в файл kgn.txt в директории Windows.

Время от времени отсылает лог-файл на e-mail pentasatan@mail.ru.