Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации.
Инсталляция
При запуске троянец копирует свой исполняемый файл в корневой каталог Windows, сохраняя оригинальное имя файла:
%WinDir%\<оригинальное_имя_троянца>
Для автоматической загрузки при следующем старте Windows, троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OLE"="<путь до исполняемого файла троянца>"
Также троянец извлекает из своего тела библиотеку DLL:
%WinDir%\HookerDll.Dll
После чего загружает созданную библиотеку.
Деструктивная активность
При загрузке библиотека HookerDll.Dll устанавливает перехватчики событий от мыши и клавиатуры, с помощью которых троянец следит за клавиатурным вводом в окнах, которые в заголовках содержат следующие строки:
e-gold Account Access
HSBC Internet banking
online@hsbc
Welcome to National Internet Banking
St.George Internet Banking Logon Page
Business Banking Online Login Page
directshares
MasterCard Connections Online - Welcome
St George Treasury: Client Logon
ANZ Internet Banking
SAAM Login
ANZ E*TRADE
FX Online Sphinx Login Page
https://www.tradeportal.proponix.com
BankSA Internet Banking Logon Page
Westpac Internet - Sign In
Westpac Internet Banking
NetBank - Logon
Commonwealth Securities Limited
Managed Funds and Superannuation Online - Login
Citibank Australia
Banesnet Particulares
Acceso a Banca por Internet
Wachovia Online Business Banking
Online Services - Account Login
Ventura County Business Bank Online Banking
PNC Bank - Account Link for Business
Fleet HomeLink Online Banking and Investing
e-Bullion: Account Login
:: WMcards.com :: Customer Support
moneybookers.com - and money moves
SunTrust Online Banking
Washington Mutual - Log On
Discover Card: Account Center Log In
OrbitPay.net - The Payment Processor Of Choice!
Banco Popular - Internet Banking
Nationwide Building Society - On-line banking
E*TRADE Log On
Accueil Bred.fr > Espace Bred.fr
Credit Lyonnais interactif
CyberMUT
Banque en ligne
Tous les produits et services
Banque Populaire
Home Page Banca Intesa
Collegamento a Scrigno
Barclaycard Merchant Services
American Express UK - Personal Finance
Merchant Administration
Wells Fargo - Small Business Home Page
Commercial Electronic Office Sign On
VeriSign Personal Trust Service
VeriSign Partner Manager
SUNCORP METWAY
iKobo Money Transfer
Welcome to Citi
Собранную информацию с клавиатурным вводом пользователя троянец сохраняет в следующем файле:
%WinDir%\krk.txt
И отправляет на электронную почту злоумышленнику: netbank***@mailgate.ru
Также троянец выполняет следующие действия:
* запускает поток, который на протяжении работы троянца периодически очищает содержимое буфера обмена Windows;
* удаляет из кеша URL, которые содержат строку "Cookie:".