Trojan-Spy.Win32. Banker.z

Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации. Перехватывает ввод символов с клавиатуры. Является приложением Windows (PE-EXE файл). Имеет размер 5184 байта. Упакована с помощью FSG. Распакованный размер — около 150 КБ.

Инсталляция

При запуске троянец копирует свой исполняемый файл в корневой каталог Windows, сохраняя оригинальное имя файла:

%WinDir%\<оригинальное_имя_троянца>

Для автоматической загрузки при следующем старте Windows, троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "OLE"="<путь до исполняемого файла троянца>"

Также троянец извлекает из своего тела библиотеку DLL:

%WinDir%\HookerDll.Dll

После чего загружает созданную библиотеку.

Деструктивная активность

При загрузке библиотека HookerDll.Dll устанавливает перехватчики событий от мыши и клавиатуры, с помощью которых троянец следит за клавиатурным вводом в окнах, которые в заголовках содержат следующие строки:

e-gold Account Access
HSBC Internet banking
online@hsbc
Welcome to National Internet Banking
St.George Internet Banking Logon Page
Business Banking Online Login Page
directshares
MasterCard Connections Online - Welcome
St George Treasury: Client Logon
ANZ Internet Banking
SAAM Login
ANZ E*TRADE
FX Online Sphinx Login Page
https://www.tradeportal.proponix.com
BankSA Internet Banking Logon Page
Westpac Internet - Sign In
Westpac Internet Banking
NetBank - Logon
Commonwealth Securities Limited
Managed Funds and Superannuation Online - Login
Citibank Australia
Banesnet Particulares
Acceso a Banca por Internet
Wachovia Online Business Banking
Online Services - Account Login
Ventura County Business Bank Online Banking
PNC Bank - Account Link for Business
Fleet HomeLink Online Banking and Investing
e-Bullion: Account Login
:: WMcards.com :: Customer Support
moneybookers.com - and money moves
SunTrust Online Banking
Washington Mutual - Log On
Discover Card: Account Center Log In
OrbitPay.net - The Payment Processor Of Choice!
Banco Popular - Internet Banking
Nationwide Building Society - On-line banking
E*TRADE Log On
Accueil Bred.fr > Espace Bred.fr
Credit Lyonnais interactif
CyberMUT
Banque en ligne
Tous les produits et services
Banque Populaire
Home Page Banca Intesa
Collegamento a Scrigno
Barclaycard Merchant Services
American Express UK - Personal Finance
Merchant Administration
Wells Fargo - Small Business Home Page
Commercial Electronic Office Sign On
VeriSign Personal Trust Service
VeriSign Partner Manager
SUNCORP METWAY
iKobo Money Transfer
Welcome to Citi

Собранную информацию с клавиатурным вводом пользователя троянец сохраняет в следующем файле:

%WinDir%\krk.txt

И отправляет на электронную почту злоумышленнику: netbank***@mailgate.ru

Также троянец выполняет следующие действия:

* запускает поток, который на протяжении работы троянца периодически очищает содержимое буфера обмена Windows;

* удаляет из кеша URL, которые содержат строку "Cookie:".