Трояны, шпионящие за паролями
Основная задача троянца Bankash.F — получение различных логинов и паролей с зараженных компьютеров.
Троянец Bankash.F представляет достаточно серьезную угрозу для данных, хранящихся на компьютерах. Троянец подходит для получения различных типов данных несколькими методами. Bankash.F постоянно регистрирует нажатия клавиш, собирает адреса электронной почты и отслеживает веб-коммуникации. Кроме того, в некоторых случаях он может даже «обходить» межсетевые экраны.
При запуске Bankash.F он выполняет следующие действия:
1. Создайте файл rfa.dll в каталоге Windows.
2. Создайте следующие файлы:
%Windir%\html.log
%Windir%\email.log
%Windir%\pass.log
%Windir%\\\eq.log
3. Создайте в базе данных регистрации следующие записи:
HKEY_CLASS_ROOT\CLSID\{811ABD55-9D94-4892-AB46-11D7DA29B8AE }
HKEY_CLASS_ROOT\TypeLib\{A49460C9-D134-4C21-BF35-EDD17D477D C8}
HKEY_CLASS_ROOT\Interface\{5D463D75-B21F-4D6A-AF92-CC0EC2CB F25F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Explorer\Browser Helper Objects\{811ABD55-9D94-4892-AB46-11D7DA29B8AE}
HKEY_CLASS_ROOT\RFA.RFA
HKEY_CLASS_ROOT\RFA.RFA.1
4. Он постоянно отслеживает предупреждения, отправляемые межсетевыми экранами, и пытается скрыть их от пользователя, а затем разрешить соединения.
Отслеживает сообщения брандмауэра, содержащие любой из следующего текста:
Внимание: некоторые компоненты изменены
Предупреждение: компоненты изменились. Вы уверены, что хотите покинуть эту страницу?
статический
Microsoft Internet Explorer
Создать правило для %s
5. Он ищет адреса электронной почты в файлах с разными расширениями, которые сохраняются в файле %Windir%\email.log.
6. Копирует локально сохраненные пароли в файл %Windir%\pass.log.
7. Журнал нажатий клавиш сохраняется в %Windir%\html.log.
8. HTTP-запросы GET хранятся в файле %Windir%\\\eq.log.
9. Самообновляется через заданные промежутки времени через Интернет.
При запуске Bankash.F он выполняет следующие действия:
1. Создайте файл rfa.dll в каталоге Windows.
2. Создайте следующие файлы:
%Windir%\html.log
%Windir%\email.log
%Windir%\pass.log
%Windir%\\\eq.log
3. Создайте в базе данных регистрации следующие записи:
HKEY_CLASS_ROOT\CLSID\{811ABD55-9D94-4892-AB46-11D7DA29B8AE }
HKEY_CLASS_ROOT\TypeLib\{A49460C9-D134-4C21-BF35-EDD17D477D C8}
HKEY_CLASS_ROOT\Interface\{5D463D75-B21F-4D6A-AF92-CC0EC2CB F25F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Explorer\Browser Helper Objects\{811ABD55-9D94-4892-AB46-11D7DA29B8AE}
HKEY_CLASS_ROOT\RFA.RFA
HKEY_CLASS_ROOT\RFA.RFA.1
4. Он постоянно отслеживает предупреждения, отправляемые межсетевыми экранами, и пытается скрыть их от пользователя, а затем разрешить соединения.
Отслеживает сообщения брандмауэра, содержащие любой из следующего текста:
Внимание: некоторые компоненты изменены
Предупреждение: компоненты изменились. Вы уверены, что хотите покинуть эту страницу?
статический
Microsoft Internet Explorer
Создать правило для %s
5. Он ищет адреса электронной почты в файлах с разными расширениями, которые сохраняются в файле %Windir%\email.log.
6. Копирует локально сохраненные пароли в файл %Windir%\pass.log.
7. Журнал нажатий клавиш сохраняется в %Windir%\html.log.
8. HTTP-запросы GET хранятся в файле %Windir%\\\eq.log.
9. Самообновляется через заданные промежутки времени через Интернет.
