[Troj/Banker-H]
[Leírás]

Leírás:

Egyéb neve:
TrojanSpy.Win32.Banker.h

Típus:
Troyan típusú

Troj/Banker-H egy DLL-t tölt be HookerDll.Dll a Windows könyvtárba.
Ez a DLL a billentyûzet leütéseit rögzíti, olyan ablakok esetén történik meg a rögzítés melyek a következõ "címeket" tartalmazza:

e-gold Account Access
HSBC Internet banking
online@hsbc
Welcome to National Internet Banking
St.George Internet Banking Logon Page
Business Banking Online Login Page
directshares
MasterCard Connections Online - Welcome
St George Treasury: Client Logon
ANZ Internet Banking
SAAM Login
ANZ E*TRADE
FX Online Sphinx Login Page
https://www.tradeportal.proponix.com
BankSA Internet Banking Logon Page
Westpac Internet - Sign In
Westpac Internet Banking
NetBank - Logon
Commonwealth Securities Limited
Managed Funds and Superannuation Online - Login
Citibank Australia
Banesnet Particulares
Acceso a Banca por Internet
Wachovia Online Business Banking
Online Services - Account Login
Ventura County Business Bank Online Banking
PNC Bank - Account Link for Business
Fleet HomeLink Online Banking and Investing
e-Bullion: Account Login
:: WMcards.com :: Customer Support
moneybookers.com - and money moves
SunTrust Online Banking
Washington Mutual - Log On
Discover Card: Account Center Log In
OrbitPay.net - The Payment Processor Of Choice!
Banco Popular - Internet Banking
Nationwide Building Society - On-line banking
E*TRADE Log On
Accueil Bred.fr < Espace Bred.fr
Credit Lyonnais interactif
CyberMUT
Banque en ligne
Tous les produits et services
Banque Populaire
Home Page Banca Intesa
Collegamento a Scrigno
Barclaycard Merchant Services
American Express UK - Personal Finance
Merchant Administration
Wells Fargo - Small Business Home Page
Commercial Electronic Office Sign On
VeriSign Personal Trust Service
VeriSign Partner Manager
SUNCORP METWAY
iKobo Money Transfer
Welcome to Citi

A billentyû leütéseket a krk.txt file-ba rögzíti a vírus, mely filet idõnként a támadónak elküldi e-mailben.

A következõ registry bejegyzést rögzíti a vírus:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\OLE

Így minden egyes bejelentkezéskor elindítja a Windows azt.

Eltávolítás:

Minden felhasználó rendelkezik egy HKEY_USERS\[code number indicating user]\ bejegyzés könyvtárral.
Ebbe a bejegyzési könyvtárba rögzíti magát a vírus, ezt a bejegyzést kell törölni.

HKU\[code number]\Software\Microsoft\Windows\ CurrentVersion\Run\OLE

Forrás: www.sophos.com
fordítva: {Dudu}