Trojan-Spy.Win32.Banker.lz

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации.

Trojan-Spy.Win32.Banker.lz («Лаборатория Касперского») также известен как: PWS-Bancos (McAfee), Trojan.MulDrop.1806 (Doctor Web), TROJ_MULTIDRP.AQ (Trend Micro), PSW.Banker.21.H (Grisoft), Trojan.Downloader.VB-18 (ClamAV), Trj/Banbra.KK (Panda)

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации. Является приложением Windows (PE EXE-файл), имеет размер более 460 КБ. Ничем не упакована.

При инсталляции троянец создает следующие файлы в корневом, системном и временном каталогах Windows:


%System%\msbasic.exe
%Temp%\PIADA.HTM
%Windir%\msrunl.exe
%Windir%\services.exe

Затем регистрирует эти файлы в ключах автозапуска системного реестра:


[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "services"="%Windir%\services.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "msrunl.exe"="%Windir%\msrunl.exe"
При каждой следующей загрузке Windows автоматически запустит зараженные файлы.

После этого троянец запускает эти файлы на исполнение.

Характеристика файлов:

* msrunl.exe — размер около 18 КБ; ищет на зараженном компьютере адреса электронной почты.

Троянец сканирует зараженный компьютер в поиске файлов с расширением wab. Затем троянец создает файл с именем msinit.txt в корневом каталоге Windows:


%Windir%\msinit.txt

В этот файл записываются пути до всех найденных файлов.

После чего троянец загружает все найденные файлы с расширением wab на удаленный сервер злоумышленника в интернете.

* msbasic.exe — размер около 12 КБ; загружает из интернета файлы без ведома пользователя.

Троянская программа скачивает другого троянца с удаленного сервера в интернете, сохраняет его в корневом каталоге Windows и запускает на исполнение.

* services.exe — размер около 310 КБ; ворует логины и пароли, вводимые пользователем.

Троянец отслеживает все открытые интернет ресурсы и в том случае, если в окне браузера просматривается определенный интернет-сайт, троянец собирает всю доступную конфеденциальную информацию с этого сайта (логины, пароли вводимые с клавиатуры, создает скриншоты экрана) и загружает ее на удаленный сервер в интернете или отсылает по электронной почте злоумышленнику.

* PIADA.HTM — размер около 600 байт; переадресовывает браузер на определенный сайт в интернете.