Trojan-Spy.Win32.Banker.s

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации.

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации. Является приложением Windows (PE EXE-файл). Упакована UPX.

Размер в упакованном виде — 52224 байта, размер в распакованном виде — около 131 КБ.

Инсталляция

При инсталляции троянец копирует себя в корневой, системный и автозагрузочный каталоги Windows со следующими именами:


%System%\load32.exe
%System%\vxdmgr32.exe
%User Profile%\Start Menu\Programs\Startup\rundllw.exe
%Windir%\dllreg.exe

Затем регистрирует эти файлы в ключах автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "load32"="%System%\load32.exe"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
 "run"="%Windir%\dllreg.exe"

Также троянец изменяет значение следующего ключа системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
 "Shell"="explorer.exe %Windir%\system32\vxdmgr32.exe"

Оригинальное значение:

"Shell"="explorer.exe"

При каждой следующей загрузке Windows автоматически запустит зараженные файлы.

Также троянец создает следующий ключ в системном реестре:

[HKLM\Software\SARS]

В корневом каталоге Windows троянец создает следующий файл для захвата клавиатурного ввода пользователя:


%Windir%\sock55.dll

Действия

TrojanSpy.Win32.Banker.s собирает нажатия клавиш в окнах, заголовки которых содержат любое слово из следующего списка:


@NetMan
banco
bank
barclays
credit report logon
e-gold Account
halifax
Hong Leong
hsbc
Login
LogOn
money
pay
punk
SignIn
SignOn
westpac
Yahoo! mail

Собранный клавиатурный ввод пользователя сохраняется в следующем файле:

%Windir%\vxdload.txt

Также троянец сохраняет всю информацию, находящуюся в буфере обмена в следующий файл:

%Windir%\rundllx.sys

Время от времени троянец отсылает созданные логи на email злоумышленника.

Другие названия

Trojan-Spy.Win32.Banker.s («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Banker.s («Лаборатория Касперского»), W32/Dumaru.w.gen (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Kadun (Doctor Web), TROJ_BANKER.S (Trend Micro), TR/PSW.Stealer.F.1 (H+BEDV), PSW.Banker.Q (Grisoft), Trj/Banker.AU (Panda), Win32/Spy.Banker.S (Eset)