| Alias: | Trojan-Spy.Win32.Banker.bqz | | Typ: | Koń trojański | | Opis: | Monitoruje ruch sieciowy i oczekuje, aż użytkownik odwiedzi serwisy online jednego z następujących banków:
Banco do Brasil
Bradesco
HSBC
Internet Banking Caixa
Itau
Następnie wyświetla fałszywą stronę logowania wchodząc w ten sposób w posiadanie poufnych danych użytkowników. |
Banker.FFX instalowany jest na komputerze zaatakowanym przez trojana Nabload.TH. Banker.FFX przeprowadza poniższe akcje: - Informuje autora trojana o infekcji zaatakowanego komputera wysyłając mu wiadomość email zawierającą następujące informacje:
- informację o infekcji komputera
- adres MAC (Media Access Control) identyfikujący zainfekowany komputer. - Monitoruje ruch sieciowy i oczekuje, aż użytkownik odwiedzi serwisy online jednego z następujących banków:
Banco do Brasil
Bradesco
HSBC
Internet Banking Caixa
Itau - W chwili, gdy użytkownik wpisuje adres internetowy jednego z powyższych banków Banker.FFX wyświetla fałszywą stronę logowania.
- W ten sposób autor trojana wchodzi w posiadanie poufnych danych użytkowników.
- Wszystkie powyższe informacje wysyła za pośrednictwem wiadomości email do autora trojana.
Banker.FFX tworzy następujące pliki: - SERVICO.EXE w folderze systemowym Windows. Plik ten jest kopią trojana.
- WINDOWS.INI w folderze Windows, w którym przechowywane są informacje zebrane przez trojana.
Banker.FFX tworzy następujący wpis do rejestru systemu Windows: - HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
servico = %sysdir%servico.exe
gdzie %sysdir% jest ściezką dostępu do folderu systemowego Windows.
W ten sposób Banker.FFX zapewnia sobie aktywację wraz ze startem systemu Windows. Banker.FFX został napisany w języku programowania Delphi v4. Został skompresowany przy użyciu UPack i posiada wielkość 954,899 Bajtów. |
