 Dr Web ostrzegł dzisiaj o trojanie Trojan.PWS.Banker.64540, który umożliwia hakerom zorganizować atak phishingowy na użytkownika zainfekowanego komputera.
Trojan.PWS.Banker.64540 składa się z dwóch komponentów: pliku wykonywalnego i dynamicznej biblioteki przy tym jego rozmiar na dysku jest bardzo mały - 80KB. Szkodnik wykorzystuje botnet Andromeda do rozprzestrzeniania się w sieci.
Uruchomiony na komputerze trojan kopiuje się do folderu o nazwie msvcrt.exe oraz zmienia wartości rejestru, który odpowiada za ładowanie się aplikacji. Trojan sprawdza czy jest w systemie, po czym wprowadza kod do procesu svchost.exe. Informacje o wykonanych operacjach szkodnik zachowuje w stworzonym pliku dziennika.
Po uruchomieniu Trojan.PWS.Banker.64540 przeszukuje dane wg wzorca w plikach zapisanych na wszystkich dyskach oprócz dysku A. Znalezione informacje trojan szyfruje, a następnie wysyła na serwer przestępców. Adresy serwerów są przechowywane w szkodliwym oprogramowaniu.
Głównym celem Trojan.PWS.Banker.64540 jesr wprowadzenie własnej wtyczki do Internet Explorera. Obejmuje ona zastępowanie zawartości stron internetowych takich jak visa.com, mastercard.com, americanexpress.com i discovercard.com.
Źródło: cybersecurity.ru/ |
