27 marca 2004

TrojanSpy.Win32.Keylogger.aa - kradnie dane wprowadzane z klawiatury

Jest to koń trojański przechwytujący teksty wprowadzane z klawiatury. Założeniem jego autora było stworzenie aplikacji kradnącej informacje dotyczące użytkowników systemów pozwalających na dokonywanie płatności on-line. Szkodnik składa się z dwóch komponentów - modułu wykonywalnego (rozmiar w bajtach - 3 792) oraz biblioteki DLL (rozmiar w bajtach - 4 608). Trojan został wprowadzony do internetu pod koniec stycznia 2004.

Instalacja

Podczas instalacji trojan kopiuje się z losową nazwą do systemowego folderu Windows i tworzy w rejestrze systemowym klucz auto-run:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
OLE=%folder windows\nazwa pliku robaka

Następnie szkodnik tworzy (w tym samym folderze) plik HookerDll.dll oraz kgn.text, w którym zapisywane są skradzione dane. Trojan monitoruje wszystkie uruchomione aplikacje i po wykryciu jednego z poniższych tekstów uruchamia funkcję przechwytującą znaki wprowadzane z klawiatury zainfekowanego komputera:

  • 1mdc
  • 1MDC
  • Access
  • ANZ
  • bank
  • Bank
  • bank of montreal
  • Bank of Montreal
  • Bank West
  • bankwest
  • BankWest
  • Bendigo
  • bmo
  • BMO
  • cibc
  • CIBC
  • Citibank
  • commbank
  • Commonwealth
  • e-bendigo
  • e-Bendigo
  • e-bullion
  • e-Bullion
  • e-gold
  • evocash
  • EVOCash
  • EVOcash
  • goldgrams
  • goldmoney
  • GoldMoney
  • HyperWallet
  • hyperwallet
  • INTgold
  • intgold
  • INTGold
  • Logon
  • macquarie
  • Macquarie
  • National
  • NetBank
  • ibendigo
  • paypal
  • PayPal
  • Pecun!x
  • pecunix
  • Pecunix
  • President Choice
  • president's choice
  • President's Choice
  • Royal Bank
  • royalbank
  • RoyalBank
  • Scotia Bank
  • scotiabank
  • ScotiaBank
  • Suncorp
  • suncorpmetway
  • TD Canada Trust
  • tdcanadatrust
  • TDCanadaTrust
  • Westpac

Plik kgn.text wysyłany jest pod adres govnodav2004@mail.ru.