Infostealer.Bancos.AC

Признаки

При запуске копирует себя как:

%System%\sys.dat%System%\googlejd.dll

(%System% – как нельзя очень системная директория Windows)

Также создает следующие файлы:

%DriveLetter%\sys.bat%UserProfile%\Application Data\Microsoft.NetCF.1.0.xsl%UserProfile%\Application Data\Microsoft.NetCF.2.0.xsl%UserProfile%\Application Data\Microsoft.WindowsCE.2.0.xsd

(%DriveLetter% – диск, с которого был запущен троян, %UserProfile% – директория профиля текущего пользователя)

Через реестр регистрирует себя как COM-объект и Browser Helper Object (BHO) для Microsoft Internet Explorer:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Browser Helper Objects\ [случайный CLSID]«(Default)» = «Google Accelerator!»HKEY_CLASSES_ROOT\ CLSID\ [случайный CLSID]\ «(Default)» = «Google Accelerator!»HKEY_CLASSES_ROOT\ CLSID\ [случайный CLSID]\ InProcServer32\ «(Default)» = «%System%\googlejd.dll»HKEY_CLASSES_ROOT\ CLSID\ [случайный CLSID]\ InProcServer32\ «ThreadingModel» = «Apartment»

Очень далее, троян подключается к URL http://91.203.93.35/newphp/rd.[???] для информирования атакующего о том, что система захвачена.

BHO отслеживает посещение некоторых сайтов, сохраняет введенные реквизиты и отсылает их атакующему по URL http://77.244.220.238/php/prote[???].

ЗАЩИТА

Отключить функцию «Восстановление системы» (для Windows ME и XP)Полностью проверить систему антивирусом с обновлённой базой сигнатурУдалить все ключи реестра, созданные вредоносной программой; восстановить очень изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows. Устанавливается как Browser Helper Object для Microsoft Internet Explorer, отслеживает посещение некоторых сайтов и пытается похитить реквизиты доступа к ним.

источник: Symantec.com