Троянская программа-шпион. Предназначена для кражи конфиденциальной финансовой информации.
После запуска троянец выдает следующую ошибку:
Socket Error # 11001 Host not found.
При инсталляции троянец копирует себя в системный каталог Windows и в каталог автозагрузки с именем system32.exe:
%Documents and Settings%\All Users\Start Menu\Programs\Startup\system32.exe
%System%\system32.exe
Затем регистрирует этот файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "system32"="%System%\system32.exe"
Могут встречаться версии данного троянца, создающие свои копии под другими именами.
Троянец сканирует все открытые сетевые и интернет ресурсы, находит ссылки на банковские и другие финансовые документы, собирает всю доступную конфеденциальную информацию (вводимые с клавиатуры логины, пароли) и сохраняет ее в создаваемый текстовый файл в системном каталоге Windows.
Время от времени троянец отсылает созданный текстовый файл по электронной почте злоумышленнику.
Другие названия
Trojan-Spy.Win32.Banker.ahy («Лаборатория Касперского») также известен как: PWS-Banker.gen.b (McAfee), PWSteal.Banpaes (Symantec), Trojan.PWS.Banker.based (Doctor Web), Troj/Bancb-Fam (Sophos), TSPY_BANKER.ACH (Trend Micro), TR/Spy.Banker.aew.4 (H+BEDV), Trojan.Banker.Delf.18834487 (SOFTWIN), Trojan.Spy.Banker-97 (ClamAV)