Trojan-Spy.Win32.Banker.a

Trojan-Spy.Win32.Banker.a («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Banker.a («Лаборатория Касперского»), Trojan.PWS.Pentas (Doctor Web), Troj/Banker-Fam (Sophos), TrojanSpy:Win32/Agent.D (RAV), TR/Bytever.A.DLL (H+BEDV), PSW.Agent.B (Grisoft), Trojan.Spy.Agent.D (SOFTWIN), TrojanSpy.Agent.D-dll (ClamAV), Win32/Spy.Agent.D (Eset)

Троянская программа-шпион, написана на ассемблере под Windows, упакована FSG. Размер файла — 4736 байт.

Инсталляция

Копирует себя в директорию Windows. Добавляет соответствующий ключ в реестр для автозагрузки:

  
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run]
   "OLE"=<имя файла>

Создает в директории Windows динамическую библиотеку с именем HookerDll.Dll и длиной файла 5120 байт.

Действия

Собирает нажатия клавиш в окнах, заголовки которых содержат любое слово из списка:

  
  1mdc
  1MDC
  Banesto
  Bank of America
  bank of montreal
  Bank of Montreal
  Bank One
  Bank West
  bankwest
  BankWest
  bendigo
  Bendigo
  CAIXA
  Chase
  cibc
  CIBC
  Citibank
  commbank
  Commonwealth
  desjardins
  Discover Card
  e-bendigo
  e-Bendigo
  e-bullion
  e-Bullion
  e-gold
  evocash
  EVOCash
  EVOcash
  goldgrams
  goldmoney
  GoldMoney
  hyperwallet
  HyperWallet
  intgold
  INTGold
  INTgold
  macquarie
  Macquarie
  National Internet Banking
  NetBank
  paypal
  PayPal
  Pecun!x
  pecunix
  Pecunix
  President Choice
  president's choice
  President's Choice
  Royal Bank
  royalbank
  RoyalBank
  Scotia Bank
  scotiabank
  ScotiaBank
  Sun Trust
  Suncorp
  suncorpmetway
  SunTrust
  TD Canada Trust
  TD Waterhouse
  TD Waterhouse
  tdwaterhouse
  Wachovia
  Washington Mutual
  Wells Fargo
  Westpac

Сохраняет их в файл kgn.txt в директории Windows.

Время от времени отсылает лог-файл на e-mail pentasatan@mail.ru.