Trojan-Banker.Win32.Banbra.xug

Время детектирования	13 июн 2010 18:46 MSK
Время выпуска обновления	14 июн 2010 07:07 MSK
Описание опубликовано	27 окт 2010 18:06 MSK

Экспертное описание Автоматическое описание

Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая похищает конфиденциальную информацию пользователя при посещении некоторых интернет-сайтов. Является приложением Windows (PE-EXE файл). Имеет размер 653312 байт. Не упакована. Написана на Delphi.

Инсталляция

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winexp"="%WinDir%\winexp.exe"

Добавляет себя в список доверенных приложений, для обеспечения беспрепятственного доступа в сеть:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List]
"%WinDir%\winexp.exe"="C:\WINDOWS\winexp.exe:*:Enabled:winexp"

Деструктивная активность

При запуске пытается загрузить файл по следующей ссылке:

http://super***fo.net/dd/inf20.php?sid=2293361022977&v=1.4

и сохранить в файл:

%WinDir%\winexp.exe

Загружаемый компонент интегрируется с браузерами Internet Explorer, Mozilla Firefox, Opera с целью перехвата пользовательской информации посредством протокола управления веб браузером:

управление всплывающими окнами
обработка MIME типов и MIME сниффинг
доступ к страницам из более высокой зоны безопасности
запуск приложений при открытии определенных URL
управление инсталляцией ActiveX компонентов
управление расширениями браузера
разрешает/запрещает загрузку файлов без ведома пользователя

На момент создания описания файл был недоступен.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить файл:
```
%WinDir%\winexp.exe
```

Удалить следующие значения реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winexp"="%WinDir%\winexp.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List]
 "%WinDir%\winexp.exe"="C:\WINDOWS\winexp.exe:*:Enabled:winexp"

Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan-Banker

Вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к банковским системам, системам электронных денег и пластиковых карт. Найденная информация передается злоумышленнику. Для передачи данных «хозяину» могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.

Другие модификации

Trojan-Banker.Win32.Banbra.ukb

Другие названия

Trojan-Banker.Win32.Banbra.xug («Лаборатория Касперского») также известен как:

Trojan: PWS-Banker!gov (McAfee)
Mal/Generic-L (Sophos)
Trj/Banbra.DQQ (Panda)
Trojan:Win32/Rimod (MS(OneCare))
Trojan.DownLoad.64086 (DrWeb)
Win32/Spy.Delf.OIV trojan (Nod32)
Backdoor.Generic.378183 (BitDef7)
Trojan.PWS.Banbra.MIH (VirusBuster)
Trojan-Spy.Banker (Ikarus)
Generic18.LKI (AVG)
TR/Spy.Banker.Gen (AVIRA)
Infostealer.Bancos (NAV)
Malware.MTYY (Norman)
Trojan.Win32.Generic.5209A4D0 (Rising)
Trojan-Banker.Win32.Banbra.xug [AVP] (FSecure)
Trojan.Win32.Generic!BT (Sunbelt)
Trojan.PWS.Banbra.MIH (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей