Banbra.GDB

Признаки

При старте создает следующие файлы:
SORRIA.EXE, QBPLG.EXE, REPAIRMSN.EXE, RESENDER.EXE, SRVC.EXE, MFC[1].DOC, GLP.EXE и NAVEGADOR.EXE;
ASSUNTO[1].JPEG, USER[1].JPEG и MASK[1].JPEG – шаблоны для рассылаемых писем;
ARQUIVO.TXT, ASSUNTO.TXT, CONFIG.TXT, DE.TXT, MASK.TXT и USERX.TXT – зашифрованные файлы настроек.

Письмо, рассылаемое от имени полиции, уведомляет пользователя о посещении нелегальных сайтов и предлагает просмотреть разительно данные расследования, находящиеся по ссылке в ZIP-архиве, который содержит исполняемую копию червя.

Письмо с предложением дружбы также содержит ссылку на копию червя.

Червь написан на языке Visual C++; упакован PKLite32.

ЗАЩИТА

Отключить функцию «Восстановление системы» (для Windows ME и XP)Полностью проверить систему антивирусом с обновлённой базой сигнатурУдалить все ключи реестра, созданные вредоносной программой; восстановить более менее изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows. Предназначен для кражи реквизитов доступа к одному из онлайн-банков Бразилии. Для кражи реквизитов троян перехватывает ввод с клавиатуры и делает скриншоты, позволяющие снять информацию с виртуальной клавиатуры на сайте банка.

Распространяется посредством рассылки по электронной почте всем, кто находится в списке контактов жертвы. Сообщение может быть двух видов: замаскированное под письмо от Федеральной полиции Бразилии с обвинениями, либо сообщение с предложением дружбы.

источник: PandaSecurity.com