Security Lab

Trojan-Spy.Win32.Banker.s

Trojan-Spy.Win32.Banker.s

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации.

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации. Является приложением Windows (PE EXE-файл). Упакована UPX.

Размер в упакованном виде — 52224 байта, размер в распакованном виде — около 131 КБ.

Инсталляция

При инсталляции троянец копирует себя в корневой, системный и автозагрузочный каталоги Windows со следующими именами:

  
  %System%\load32.exe
  %System%\vxdmgr32.exe
  %User Profile%\Start Menu\Programs\Startup\rundllw.exe
  %Windir%\dllreg.exe

Затем регистрирует эти файлы в ключах автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "load32"="%System%\load32.exe"
  
  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   "run"="%Windir%\dllreg.exe"
  

Также троянец изменяет значение следующего ключа системного реестра:

  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "Shell"="explorer.exe %Windir%\system32\vxdmgr32.exe"
  

Оригинальное значение:

  "Shell"="explorer.exe"
  

При каждой следующей загрузке Windows автоматически запустит зараженные файлы.

Также троянец создает следующий ключ в системном реестре:

  [HKLM\Software\SARS]
  

В корневом каталоге Windows троянец создает следующий файл для захвата клавиатурного ввода пользователя:

  
  %Windir%\sock55.dll

Действия

TrojanSpy.Win32.Banker.s собирает нажатия клавиш в окнах, заголовки которых содержат любое слово из следующего списка:

  
  @NetMan
  banco
  bank
  barclays
  credit report logon
  e-gold Account
  halifax
  Hong Leong
  hsbc
  Login
  LogOn
  money
  pay
  punk
  SignIn
  SignOn
  westpac
  Yahoo! mail

Собранный клавиатурный ввод пользователя сохраняется в следующем файле:

  %Windir%\vxdload.txt
  

Также троянец сохраняет всю информацию, находящуюся в буфере обмена в следующий файл:

  %Windir%\rundllx.sys
  

Время от времени троянец отсылает созданные логи на email злоумышленника.

Другие названия

Trojan-Spy.Win32.Banker.s («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Banker.s («Лаборатория Касперского»), W32/Dumaru.w.gen (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Kadun (Doctor Web), TROJ_BANKER.S (Trend Micro), TR/PSW.Stealer.F.1 (H+BEDV), PSW.Banker.Q (Grisoft), Trj/Banker.AU (Panda), Win32/Spy.Banker.S (Eset)

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!