Trojan-Spy.Win32. Goldun.bbo

Вредоносная программа, предназначенная для кражи конфиденциальных данных пользователя.

Вредоносная программа, предназначенная для кражи конфиденциальных данных пользователя.

Инсталляция

При запуске программа извлекает из себя и создает на диске два файла, которые являются частями вредоносной программы и содержат основной вредоносный функционал:

%system%\netprp.dll
%system%\netpr.sys
Для автоматической загрузки динамически подключаемой библиотеки(netprp.dll) в адресное пространство создаваемых процессов, вредоносная программа создает ключ системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Notify \netprp]
"Asynchronous"= 1
"DllName" = “netprp”
"Impersonate"= 1
"MaxWait"= 1
"ng950"="[817130DE43D93F323]"
"Startup"="netprp"
Также программа регистрирует драйвер netpr.sys как системный сервис.

Деструктивная активность

Вредоносная программа перехватывает информацию об учётной записи (логины и пароли), которые пользователь вводит на следующих сайтах:

sitekey.bankofamerica.com/sas/verifyImage.do
online*.bankofamerica.com/*
Также программа ищет на компьютере пароли от почтовых ящиков пользователя в программах The Bat! и Microsoft Office Outlook.

Собранная информация отправляется на сайт злоумышленника

http://kitroneza.cn/rss.php