2012年6月12日掲載
株式会社Doctor Web Pacific
Trojan.PWS.Banker.64540は、実行ファイルおよびダイナミックライブラリファイルの2つのコンポーネントで構成されていますが、そのサイズは80キロバイトと比較的小さく、良く知られたAndromedaボットネットを介して拡散します。感染したコンピューター上で起動されると、Trojan.PWS.Banker.64540は自身をmsvcrt.exeとしてフォルダ内にコピーし、アプリケーションの自動実行に関与するレジストリブランチ内にファイルへのリンクを加えます。また、ファイルがシステム内にインストールされているかどうかの確認も行います。その後自身を起動させ、自らを削除するためのコードをsvchost.exeプロセスに挿入します。ログファイルには、その動作に関する全ての情報を保存します。
このトロイの木馬は起動されると、Aディスクを除く全てのドライブ上に保存されたファイル内のデータを、予め定義されたテンプレートに従って検索します。見つかった情報は全て暗号化され、マルウェアに組み込まれた犯罪者サーバーのアドレスに送信されます。
Trojan.PWS.Banker.64540の主要な目的は、そのコンポーネントをInternet Explorerに組み込むことにあります。これにはvisa.com、mastercard.com、americanexpress.com、discovercard.comなどの特定のサイトのコンテンツを置き換えてしまうwebサイトインジェクションが含まれています。このトロイの木馬のシグネチャは既にDr.Webウイルスデータベースに加えられています。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments