Trojan-Spy.Win32. Banker.ae

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации.

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации. Перехватывает ввод символов с клавиатуры. Является приложением Windows (PE-EXE файл). Имеет размер 5 184 байта. Упакована с помощью FSG. Распакованный размер – около 22 КБ.

Инсталляция

При запуске троянец копирует свой исполняемый файл в корневой каталог Windows, сохраняя оригинальное имя файла:

%WinDir%\<оригинальное_имя_троянца>

Для автоматической загрузки при следующем старте Windows, троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OLE"="<путь до исполняемого файла троянца>"

Также троянец извлекает из своего тела библиотеку DLL:

%WinDir%\HookerDll.Dll

После чего загружает созданную библиотеку.

Деструктивная активность

При загрузке библиотека HookerDll.Dll устанавливает перехватчики событий от мыши и клавиатуры, с помощью которых троянец следит за клавиатурным вводом в окнах, которые в заголовках содержат следующие строки:

:: WMcards.com :: Customer Support
Acceso a Banca por Internet
Accueil Bred.fr > Espace Bred.fr
American Express UK - Personal Finance
ANZ E*TRADE
ANZ Internet Banking
Banco Popular - Internet Banking
Banesnet Particulares
BankSA Internet Banking Logon Page
Banque en ligne
Banque Populaire
Barclaycard Merchant Services
Business Banking Online Login Page
Citibank Australia
Collegamento a Scrigno
Commercial Electronic Office Sign On
Commonwealth Securities Limited
Credit Lyonnais interactif
CyberMUT
directshares
Discover Card: Account Center Log In
E*TRADE Log On
e-Bullion: Account Login
e-gold Account Access
Fleet HomeLink Online Banking and Investing
FX Online Sphinx Login Page
Home Page Banca Intesa
HSBC Internet banking
https://www.tradeportal.proponix.com
iKobo Money Transfer
Managed Funds and Superannuation Online - Login
MasterCard Connections Online - Welcome
Merchant Administration
moneybookers.com - and money moves
Nationwide Building Society - On-line banking
NetBank - Logon
Online Services - Account Login
online@hsbc
OrbitPay.net - The Payment Processor Of Choice!
PNC Bank - Account Link for Business
SAAM Login
St George Treasury: Client Logon
St.George Internet Banking Logon Page
SUNCORP METWAY
SunTrust Online Banking
Tous les produits et services
Ventura County Business Bank Online Banking
VeriSign Partner Manager
VeriSign Personal Trust Service
Wachovia Online Business Banking
Washington Mutual - Log On
Welcome to Citi
Welcome to National Internet Banking
Wells Fargo - Small Business Home Page
Westpac Internet - Sign In
Westpac Internet Banking

Собранную информацию с клавиатурным вводом пользователя троянец сохраняет в следующем файле:

%WinDir%\krk.txt

и отправляет на электронную почту злоумышленнику:

netbank***@mailgate.ru

Другие названия

Trojan-Spy.Win32.Banker.ae («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Banker.ae («Лаборатория Касперского»), Keylog-Stawin (McAfee), PWSteal.Tarno.D (Symantec), Troj/Banker-Fam (Sophos), TROJ_BANKER.AE (Trend Micro), PSW.Tofger.2.AF (Grisoft), Win32/Spy.Banker.AE (Eset)