17 listopada 2004

UWAGA! TrojanSpy.Win32.Banker.u

Jest to szpiegowski koń trojański kradnący z zainfekowanych systemów poufne informacje finansowe. Wyposażony jest w procedurę backdoor. Szkodnik ma postać pliku PE EXE o rozmiarze około 10 KB (kompresja UPX, rozmiar po rozpakowaniu - około 75 KB).

Podczas instalacji szkodnik tworzy w folderze \Windows\System następujące pliki:

lsd_f3.dll
iesprt.sys

lub

lsd_f3.dll
timestamp.sys

oraz poniższe wpisy w rejestrze systemowym:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\f3dsl]
"Dllname"="lsd_f3.dll"
"Startup"="LSD_F3"
"Impersonate"="1"
"Asynchronous"="1"
"MaxWait"="1"

Szkodnik skanuje wszystkie dostępne zasoby sieciowe i internetowe w poszukiwaniu informacji bankowych i finansowych. Znalezione dane umieszczane są przez trojana na stronie WWW.

Trojan wyposażony jest w procedurę backdoor, która pozwala zdalnemu hakerowi na przejęcie kontroli nad zainfekowanym komputerem, włącznie z pobieraniem plików z Internetu i uruchamianiem ich.

Inne znane nazwy szkodnika

PWS-WebMoney.gen (McAfee),   PWSteal.Banker.B (Symantec),   Trojan.PWS.Banker (Doctor Web),   Troj/Banker-W (Sophos),   TrojanSpy/Win32.Banker.U (RAV),   TR/Spy.Banker.W.DLL (H+BEDV),   PSW.Tofger.2.H (Grisoft),   Trojan.Spy.Banker.U (SOFTWIN)