Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Trojan-Spy.Win32.Banker.z

Jest to trojan rejestrujący znaki wprowadzane przez użytkownika z klawiatury. Jego celem jest kradzież różnych poufnych danych. Szkodnik przechwytuje informacje wprowadzane z klawiatury. Ma postać pliku Windows PE EXE o rozmiarze 5 184 bajtów (kompresja FSG, rozmiar po rozpakowaniu - około 150 KB).

Instalacja

Po uruchomieniu trojan kopiuje swój plik wykonywalny do foldera systemowego z oryginalną nazwą pliku:

%WinDir%\(oryginalna nazwa pliku trojana)

Trojan tworzy wpis w rejestrze systemowym zapewniający mu automatyczne uruchamianie wraz z każdym startem systemu:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OLE"="(ścieżka dostępu do pliku wykonywalnego trojana):"

Trojan rozpakowuje również następujący plik DLL:

%WinDir%\HookerDll.Dll

a następnie ładuje go.

Funkcje trojana

Po załadowaniu HookerDll.Dll zostaną przechwycone czynności wykonywane za pomocą myszki i klawiatury. Umożliwia to trojanowi śledzenie informacji wprowadzanych do okien, których nagłówki zawierają następujące ciągi:

:: WMcards.com :: Customer Support
Acceso a Banca por Internet
Accueil Bred.fr > Espace Bred.fr
American Express UK - Personal Finance
ANZ E*TRADE
ANZ Internet Banking
Banco Popular - Internet Banking
Banesnet Particulares
BankSA Internet Banking Logon Page
Banque en ligne
Banque Populaire
Barclaycard Merchant Services
Business Banking Online Login Page
Citibank Australia
Collegamento a Scrigno
Commercial Electronic Office Sign On
Commonwealth Securities Limited
Credit Lyonnais interactif
CyberMUT
directshares
Discover Card: Account Center Log In
E*TRADE Log On
e-Bullion: Account Login
e-gold Account Access
Fleet HomeLink Online Banking and Investing
FX Online Sphinx Login Page
Home Page Banca Intesa
HSBC Internet banking
https://www.tradeportal.proponix.com
iKobo Money Transfer
Managed Funds and Superannuation Online - Login
MasterCard Connections Online - Welcome
Merchant Administration
moneybookers.com - and money moves
Nationwide Building Society - On-line banking
NetBank - Logon
Online Services - Account Login
online@hsbc
OrbitPay.net - The Payment Processor Of Choice!
PNC Bank - Account Link for Business
SAAM Login
St George Treasury: Client Logon
St.George Internet Banking Logon Page
SUNCORP METWAY
SunTrust Online Banking
Tous les produits et services
Ventura County Business Bank Online Banking
VeriSign Partner Manager
VeriSign Personal Trust Service
Wachovia Online Business Banking
Washington Mutual - Log On
Welcome to Citi
Welcome to National Internet Banking
Wells Fargo - Small Business Home Page
Westpac Internet - Sign In
Westpac Internet Banking

Informacje wprowadzane z klawiatury zapisywane są w następującym pliku:

%WinDir%\krk.txt

i przesyłane cyberprzestępcy na następujący adres:

netbank***@mailgate.ru

Trojan wykonuje również następujące czynności:

  1. okresowo kasuje zawartość schowka Windows
  2. usuwa z pamięci podręcznej adresy URL zawierające ciąg "Cookie".

Usuwanie trojana z zainfekowanego systemu

W celu usunięcia szkodnika z zainfekowanego systemu należy wykonać następujące czynności:

  1. Użyć Menedżera zadań w celu zakończenia procesu trojana
  2. Usunąć oryginalny plik trojana (jego lokalizacja zależy od tego, w jaki sposób trojan przeniknął do maszyny ofiary)
  3. Usunąć następujące pliki:
    %WinDir%\(oryginalna nazwa pliku trojana)
    %WinDir%\HookerDll.Dll
    %WinDir%\krk.txt
    
  4. Usunąć następujący wpis z rejestru:

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "OLE"="(ścieżka dostępu do pliku wykonywalnego trojana):"

  5. Uaktualnić sygnatury zagrożeń i wykonać pełne skanowanie komputera (w tym celu można skorzystać z darmowej wersji testowej oprogramowania Kaspersky Anti-Virus).
<alias> TrojanSpy.Win32.Banker.z (Kaspersky Lab), Keylog-Stawin (McAfee),   PWSteal.Tarno.D (Symantec),   Troj/Banker-Fam (Sophos),   TrojanSpy:Win32/Banker.Z (RAV),   PSW.Tofger.2.B (Grisoft),   Trojan Horse (Panda),   Win32/Spy.Banker.Z (Eset) </alias>