Троянские программы: Trojan-Banker

Вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к банковским системам, системам электронных денег и пластиковых карт. Найденная информация передается злоумышленнику.

Для передачи данных «хозяину» могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.

Например:

Trojan-Banker.Win32.Banker.z, также известен как:

# Trojan: Keylog-Stawin.gen (McAfee)
# Troj/Banker-Fam (Sophos)
# Trojan.Spy.Banker-4220 (ClamAV)
# W32/Heuristic-119!Eldorado (FPROT)
# TrojanSpy:Win32/Banker.Z (MS(OneCare))
# Trojan.PWS.Banker.4595 (DrWeb)
# Win32/Spy.Banker.Z trojan (Nod32)
# Trojan.Generic.480299 (BitDef7)
# Win32:Banker-BGO [Trj] (AVAST)
# Trojan-Spy.Win32.Banker.AE (Ikarus)
# PSW.Bancos.8.Y (AVG)
# (PCK/Dumped) (AVIRA)
# Infostealer.Tarno.D (NAV)
# Trojan.Spy.Banker.cnc (Rising)

- Предназначен для кражи различной конфиденциальной информации;
- Перехватывает ввод символов с клавиатуры;
- Является приложением Windows (PE-EXE файл);
- Имеет размер 5184 байта;
- Упакован с помощью FSG;
- Распакованный размер — около 150 КБ.


При загрузке, библиотека HookerDll.dll устанавливает перехватчики событий от мыши и клавиатуры, с помощью которых троянец следит за клавиатурным вводом в окнах, которые в заголовках содержат следующие строки:

e-gold Account Access
HSBC Internet banking
online@hsbc
Welcome to National Internet Banking
St.George Internet Banking Logon Page
Business Banking Online Login Page
directshares
MasterCard Connections Online - Welcome
St George Treasury: Client Logon
ANZ Internet Banking
SAAM Login
ANZ E*TRADE
FX Online Sphinx Login Page
https://www.tradeportal.proponix.com
BankSA Internet Banking Logon Page
Westpac Internet - Sign In
Westpac Internet Banking
NetBank - Logon
Commonwealth Securities Limited
Managed Funds and Superannuation Online - Login
Citibank Australia
Banesnet Particulares
Acceso a Banca por Internet
Wachovia Online Business Banking
Online Services - Account Login
Ventura County Business Bank Online Banking
PNC Bank - Account Link for Business
Fleet HomeLink Online Banking and Investing
e-Bullion: Account Login
:: WMcards.com :: Customer Support
moneybookers.com - and money moves
SunTrust Online Banking
Washington Mutual - Log On
Discover Card: Account Center Log In
OrbitPay.net - The Payment Processor Of Choice!
Banco Popular - Internet Banking
Nationwide Building Society - On-line banking
E*TRADE Log On
Accueil Bred.fr > Espace Bred.fr
Credit Lyonnais interactif
CyberMUT
Banque en ligne
Tous les produits et services
Banque Populaire
Home Page Banca Intesa
Collegamento a Scrigno
Barclaycard Merchant Services
American Express UK - Personal Finance
Merchant Administration
Wells Fargo - Small Business Home Page
Commercial Electronic Office Sign On
VeriSign Personal Trust Service
VeriSign Partner Manager
SUNCORP METWAY
iKobo Money Transfer
Welcome to Citi

Собранную информацию с клавиатурным вводом пользователя троянец сохраняет в текстовом файле (%WinDir%\krk.txt) и отправляет на электронную почту злоумышленнику.

Также троянец выполняет следующие действия:

- запускает поток, который на протяжении работы троянца периодически очищает содержимое буфера обмена Windows;

- удаляет из кеша URL, которые содержат строку "Cookie:"