Trojan.Banker

29.10.2010 - 14:26

Доброе время суток! Вот, товарищи, хотел написать про доброго, нежного, милого Kido, но столкнулся на днях с Trojan.Banker и понял, что на текущий момент он интереснее для изучения. Не берусь сказать, какая модификация, но это семейство характеризируется отдельными общими признаками.
К сожалению, я потратил на его изучение на день больше (общего времени, а не рабочего, мог баловаться с ним не более 3-х часов), чем мог бы, но это принесло свои плоды.
Это вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к банковским системам, системам электронных денег и пластиковых карт. Найденная информация передается злоумышленнику. Для передачи данных «хозяину» могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.
Laughing Trojan.Banker - он же "Троянец". Обладатель Ваших аккаунтов и паролей к клиент-банкам и интернет-банкингам. Много пьет, всегда простужен. Характер скверный. Не женат.

  • Во-первых, рекомендую удалить из автозагрузки, Планировщика заданий, реестра и вообще, Google Update.
  • Автозагрузка троянца происходит в
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "GoogleUpdate"="<путь_к_оригинальному_телу_трояна>"
    .
  • Каждые 50 секунд троянец выполняет загрузку файла с тырнета, ссылки не дам - не знаю, но достоверным источником замечено, что делает, да и по-сути, откуда же ему ещё взяться? ))))
  • Каждые 500 мс троянец производит перезапись файла:
    %System%\drivers\etc\hosts
    где редиректит адреса многих банков на свои IP-адреса.
  • Дописывает себя в конец строки
    [ HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon ] C:\Windows\system32\userinit.exe
    чем вызывает себя при загрузке системы.

Может есть ещё некоторые "особенности", но в процессе удаления замечены не были.
Был замечен, а затем исправлен 2-я программами:

  1. ZBotKiller - универсальный скрипт по обнаружению троянов в процессах и их удалению.
  2. Trojan Remover - ним я его и увидел в реестре.
  3. Kaspersky Removal Tool - контрольный.

Чем разочарован, так это Доктором Ливси Вэбом. Он ничем абсолютно не помог.
P.S. Я не утверждаю, что заметил лишь один вирус, вполне возможно, что их было несколько и они действовали сообща. Факт остается фактом - машина чиста, юзер доволен.

Ваша оценка: Нет Средняя: 4.2 (5 votes)