Trojan-Spy.Win32.Banker.s

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации.

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации. Является приложением Windows (PE EXE-файл). Упакована UPX.

Размер в упакованном виде — 52224 байта, размер в распакованном виде — около 131 КБ.

Инсталляция

При инсталляции троянец копирует себя в корневой, системный и автозагрузочный каталоги Windows со следующими именами:

 
 %System%\load32.exe
 %System%\vxdmgr32.exe
 %User Profile%\Start Menu\Programs\Startup\rundllw.exe
 %Windir%\dllreg.exe

Затем регистрирует эти файлы в ключах автозапуска системного реестра:

 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "load32"="%System%\load32.exe"
 
 [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  "run"="%Windir%\dllreg.exe"
 

Также троянец изменяет значение следующего ключа системного реестра:

 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  "Shell"="explorer.exe %Windir%\system32\vxdmgr32.exe"
 

Оригинальное значение:

 "Shell"="explorer.exe"
 

При каждой следующей загрузке Windows автоматически запустит зараженные файлы.

Также троянец создает следующий ключ в системном реестре:

 [HKLM\Software\SARS]
 

В корневом каталоге Windows троянец создает следующий файл для захвата клавиатурного ввода пользователя:

 
 %Windir%\sock55.dll

Действия

TrojanSpy.Win32.Banker.s собирает нажатия клавиш в окнах, заголовки которых содержат любое слово из следующего списка:

 
 @NetMan
 banco
 bank
 barclays
 credit report logon
 e-gold Account
 halifax
 Hong Leong
 hsbc
 Login
 LogOn
 money
 pay
 punk
 SignIn
 SignOn
 westpac
 Yahoo! mail

Собранный клавиатурный ввод пользователя сохраняется в следующем файле:

 %Windir%\vxdload.txt
 

Также троянец сохраняет всю информацию, находящуюся в буфере обмена в следующий файл:

 %Windir%\rundllx.sys
 

Время от времени троянец отсылает созданные логи на email злоумышленника.

Другие названия

Trojan-Spy.Win32.Banker.s («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Banker.s («Лаборатория Касперского»), W32/Dumaru.w.gen (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Kadun (Doctor Web), TROJ_BANKER.S (Trend Micro), TR/PSW.Stealer.F.1 (H+BEDV), PSW.Banker.Q (Grisoft), Trj/Banker.AU (Panda), Win32/Spy.Banker.S (Eset)

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.