Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan-Banker.Win32.Banbra.ukb

Trojan-Banker.Win32.Banbra.ukb

Время детектирования	20 мар 2010 03:45 MSK
Время выпуска обновления	20 мар 2010 09:42 MSK
Описание опубликовано	09 сен 2010 13:32 MSK

Технические детали
Деструктивная активность

Технические детали

Вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к различным банковским системам. Является исполняемым файлом Windows (PE EXE-файл). Имеет размер 30239 байт. Написан на Delphi.

Инсталляция

При запуске, вредоносная программа извлекает из себя и создает в системной папке windows файл, являющийся динамически подключаемой библиотекой(.dll файл) и содержащий основной вредоносный функционал:

%system%\overlapp32.dll

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на созданный файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Classes\CLSID\{FF4EC53A-CA51-9A39-6CDD
-5FFB26FB445C}\InProcServer32]
@="overlapp32.dll"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"WebCheck"="{FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C}"

Деструктивная активность

Программа перехватывает все логины и пароли, используемые для доступа к системам интернет-банкинга, при вводе их в окна следующих процессов:

firefox.exe
java.exe
javaw.exe
iexplore.exe
opera.exe
explorer.exe

Также отслеживается ввод информации в окна, принадлежащие классу SunAwtFrame Кроме этого, программа собирает информацию о цифровых сертификатах, используемых для доступа к системам интернет-банкинга.

Вся собранная информация отправляется злоумышленнику с помощью HTTP Post запроса на адрес:

http://secbanking.com/wtf/online.php#ID-<username>.<compname>#

Где <username> - имя пользователя, <compname> - имя компьютера.

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan-Banker

Вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к банковским системам, системам электронных денег и пластиковых карт. Найденная информация передается злоумышленнику. Для передачи данных «хозяину» могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.

Другие модификации

Trojan-Banker.Win32.Banbra.xug

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com