Trojan-Spy.Win32. Banker.ahy

Троянская программа-шпион. Предназначена для кражи конфиденциальной финансовой информации.

Троянская программа-шпион. Предназначена для кражи конфиденциальной финансовой информации. Является приложением Windows (PE EXE-файл). Размер известных нам зараженных объектов значительно варьируется в пределах от 356 Кб до 1 Мб и даже более.

После запуска троянец выдает следующую ошибку:

Socket Error # 11001
Host not found. 

При инсталляции троянец копирует себя в системный каталог Windows и в каталог автозагрузки с именем system32.exe:

%Documents and Settings%\All Users\Start Menu\Programs\Startup\system32.exe

%System%\system32.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "system32"="%System%\system32.exe"

Могут встречаться версии данного троянца, создающие свои копии под другими именами.

Троянец сканирует все открытые сетевые и интернет ресурсы, находит ссылки на банковские и другие финансовые документы, собирает всю доступную конфеденциальную информацию (вводимые с клавиатуры логины, пароли) и сохраняет ее в создаваемый текстовый файл в системном каталоге Windows.

Время от времени троянец отсылает созданный текстовый файл по электронной почте злоумышленнику.

Другие названия

Trojan-Spy.Win32.Banker.ahy («Лаборатория Касперского») также известен как: PWS-Banker.gen.b (McAfee), PWSteal.Banpaes (Symantec), Trojan.PWS.Banker.based (Doctor Web), Troj/Bancb-Fam (Sophos), TSPY_BANKER.ACH (Trend Micro), TR/Spy.Banker.aew.4 (H+BEDV), Trojan.Banker.Delf.18834487 (SOFTWIN), Trojan.Spy.Banker-97 (ClamAV)