Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

TrojanSpy.Win32.Small.q - kradnie informacje

Jest to koń trojański kradnący dane dotyczące użytkowników systemów pozwalających na wykonywanie płatności elektronicznych. Ma postać pliku PE EXE o rozmiarze 5 184 bajtów (kompresja FSG).

Podczas instalacji trojan kopiuje się do folderu Windows i tworzy w rejestrze systemowym klucz autorun:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"OLE"=nazwa kopii robaka

Następnie szkodnik rozpakowuje z własnego kodu plik HookerDll.Dll (rozmiar 6 144 bajty). Zawiera on program przechwytujący znaki wprowadzane z klawiatury zainfekowanego komputera. Skradzione dane zapisywane są w pliku krk.txt (tworzonym w folderze Windows). Funkcja przechwytująca dane z klawiatury aktywowana jest tylko wtedy, gdy nagłówek okna przeglądarki internetowej zawiera jeden z poniższych tekstów:

  • e-gold Account Access
  • HSBC Internet banking
  • Welcome to National Internet Banking
  • St.George Internet Banking Logon Page
  • Business Banking Online Login Page
  • MasterCard Connections Online - Welcome
  • St George Treasury: Client Logon
  • ANZ Internet Banking
  • SAAM Login
  • ANZ E*TRADE
  • FX Online Sphinx Login Page
  • https://www.tradeportal.proponix.com
  • BankSA Internet Banking Logon Page
  • Westpac Internet - Sign In
  • Westpac Internet Banking
  • NetBank - Logon
  • Commonwealth Securities Limited
  • Managed Funds and Superannuation Online - Login
  • Citibank Australia
  • Banesnet Particulares
  • Acceso a Banca por Internet
  • Wachovia Online Business Banking
  • Online Services - Account Login
  • Ventura County Business Bank Online Banking
  • PNC Bank - Account Link for Business
  • Fleet HomeLink Online Banking and Investing
  • e-Bullion: Account Login
  • :: WMcards.com :: Customer Support
  • moneybookers.com - and money moves
  • SunTrust Online Banking
  • Washington Mutual - Log On
  • Discover Card: Account Center Log In
  • OrbitPay.net - The Payment Processor Of Choice!
  • Banco Popular - Internet Banking
  • Nationwide Building Society - On-line banking
  • E*TRADE Log On
  • Accueil Bred.fr > Espace Bred.fr
  • Credit Lyonnais interactif
  • CyberMUT
  • Banque en ligne
  • Tous les produits et services
  • Banque Populaire
  • Home Page Banca Intesa
  • Collegamento a Scrigno
  • Barclaycard Merchant Services
  • American Express UK - Personal Finance
  • Merchant Administration
  • Wells Fargo - Small Business Home Page
  • Commercial Electronic Office Sign On
  • VeriSign Personal Trust Service
  • VeriSign Partner Manager
  • SUNCORP METWAY
  • iKobo Money Transfer
  • Welcome to Citi

W ten sposób trojan kranie gasła dostępu do systemów pozwalających na wykonywanie płatności elektronicznych i wysyła je do swojego autora za pośrednictwem wiadomości e-mail.



 2004-04-05  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych