Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации.
Размер в упакованном виде — 52224 байта, размер в распакованном виде — около 131 КБ.
Инсталляция
При инсталляции троянец копирует себя в корневой, системный и автозагрузочный каталоги Windows со следующими именами:
%System%\load32.exe %System%\vxdmgr32.exe %User Profile%\Start Menu\Programs\Startup\rundllw.exe %Windir%\dllreg.exe
Затем регистрирует эти файлы в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "load32"="%System%\load32.exe" [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows] "run"="%Windir%\dllreg.exe"
Также троянец изменяет значение следующего ключа системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe %Windir%\system32\vxdmgr32.exe"
Оригинальное значение:
"Shell"="explorer.exe"
При каждой следующей загрузке Windows автоматически запустит зараженные файлы.
Также троянец создает следующий ключ в системном реестре:
[HKLM\Software\SARS]
В корневом каталоге Windows троянец создает следующий файл для захвата клавиатурного ввода пользователя:
%Windir%\sock55.dll
Действия
TrojanSpy.Win32.Banker.s собирает нажатия клавиш в окнах, заголовки которых содержат любое слово из следующего списка:
@NetMan banco bank barclays credit report logon e-gold Account halifax Hong Leong hsbc Login LogOn money pay punk SignIn SignOn westpac Yahoo! mail
Собранный клавиатурный ввод пользователя сохраняется в следующем файле:
%Windir%\vxdload.txt
Также троянец сохраняет всю информацию, находящуюся в буфере обмена в следующий файл:
%Windir%\rundllx.sys
Время от времени троянец отсылает созданные логи на email злоумышленника.
Другие названия
Trojan-Spy.Win32.Banker.s («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Banker.s («Лаборатория Касперского»), W32/Dumaru.w.gen (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Kadun (Doctor Web), TROJ_BANKER.S (Trend Micro), TR/PSW.Stealer.F.1 (H+BEDV), PSW.Banker.Q (Grisoft), Trj/Banker.AU (Panda), Win32/Spy.Banker.S (Eset)