Trojan-Spy.Win32.Banker.a

Троянская программа-шпион, написана на ассемблере под Windows, упакована FSG. Размер файла — 4736 байт.

Trojan-Spy.Win32.Banker.a («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Banker.a («Лаборатория Касперского»), Trojan.PWS.Pentas (Doctor Web), Troj/Banker-Fam (Sophos), TrojanSpy:Win32/Agent.D (RAV), TR/Bytever.A.DLL (H+BEDV), PSW.Agent.B (Grisoft), Trojan.Spy.Agent.D (SOFTWIN), TrojanSpy.Agent.D-dll (ClamAV), Win32/Spy.Agent.D (Eset)

Троянская программа-шпион, написана на ассемблере под Windows, упакована FSG. Размер файла — 4736 байт.

Инсталляция

Копирует себя в директорию Windows. Добавляет соответствующий ключ в реестр для автозагрузки:

 
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run]
  "OLE"=<имя файла>

Создает в директории Windows динамическую библиотеку с именем HookerDll.Dll и длиной файла 5120 байт.

Действия

Собирает нажатия клавиш в окнах, заголовки которых содержат любое слово из списка:

 
 1mdc
 1MDC
 Banesto
 Bank of America
 bank of montreal
 Bank of Montreal
 Bank One
 Bank West
 bankwest
 BankWest
 bendigo
 Bendigo
 CAIXA
 Chase
 cibc
 CIBC
 Citibank
 commbank
 Commonwealth
 desjardins
 Discover Card
 e-bendigo
 e-Bendigo
 e-bullion
 e-Bullion
 e-gold
 evocash
 EVOCash
 EVOcash
 goldgrams
 goldmoney
 GoldMoney
 hyperwallet
 HyperWallet
 intgold
 INTGold
 INTgold
 macquarie
 Macquarie
 National Internet Banking
 NetBank
 paypal
 PayPal
 Pecun!x
 pecunix
 Pecunix
 President Choice
 president's choice
 President's Choice
 Royal Bank
 royalbank
 RoyalBank
 Scotia Bank
 scotiabank
 ScotiaBank
 Sun Trust
 Suncorp
 suncorpmetway
 SunTrust
 TD Canada Trust
 TD Waterhouse
 TD Waterhouse
 tdwaterhouse
 Wachovia
 Washington Mutual
 Wells Fargo
 Westpac

Сохраняет их в файл kgn.txt в директории Windows.

Время от времени отсылает лог-файл на e-mail pentasatan@mail.ru.