Trojan-Spy.Win32.Banker.lz

Trojan-Spy.Win32.Banker.lz («Лаборатория Касперского») также известен как: PWS-Bancos (McAfee), Trojan.MulDrop.1806 (Doctor Web), TROJ_MULTIDRP.AQ (Trend Micro), PSW.Banker.21.H (Grisoft), Trojan.Downloader.VB-18 (ClamAV), Trj/Banbra.KK (Panda)

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации. Является приложением Windows (PE EXE-файл), имеет размер более 460 КБ. Ничем не упакована.

При инсталляции троянец создает следующие файлы в корневом, системном и временном каталогах Windows:

  
  %System%\msbasic.exe
  %Temp%\PIADA.HTM
  %Windir%\msrunl.exe
  %Windir%\services.exe

Затем регистрирует эти файлы в ключах автозапуска системного реестра:

  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "services"="%Windir%\services.exe"
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "msrunl.exe"="%Windir%\msrunl.exe"
  

При каждой следующей загрузке Windows автоматически запустит зараженные файлы.

После этого троянец запускает эти файлы на исполнение.

Характеристика файлов:

* msrunl.exe — размер около 18 КБ; ищет на зараженном компьютере адреса электронной почты.

Троянец сканирует зараженный компьютер в поиске файлов с расширением wab. Затем троянец создает файл с именем msinit.txt в корневом каталоге Windows:

  
  %Windir%\msinit.txt

В этот файл записываются пути до всех найденных файлов.

После чего троянец загружает все найденные файлы с расширением wab на удаленный сервер злоумышленника в интернете.

* msbasic.exe — размер около 12 КБ; загружает из интернета файлы без ведома пользователя.

Троянская программа скачивает другого троянца с удаленного сервера в интернете, сохраняет его в корневом каталоге Windows и запускает на исполнение.

* services.exe — размер около 310 КБ; ворует логины и пароли, вводимые пользователем.

Троянец отслеживает все открытые интернет ресурсы и в том случае, если в окне браузера просматривается определенный интернет-сайт, троянец собирает всю доступную конфеденциальную информацию с этого сайта (логины, пароли вводимые с клавиатуры, создает скриншоты экрана) и загружает ее на удаленный сервер в интернете или отсылает по электронной почте злоумышленнику.

* PIADA.HTM — размер около 600 байт; переадресовывает браузер на определенный сайт в интернете.