Diese Trojaner kommt über ein System als eine Datei um andere Malware oder als Download-Datei von einer bestimmten URL.

Nach Durchführung dieser Trojan Erstellt eine Kopie von sich selbst im Windows System Ordner.

Sie schafft einen bestimmten Ordner mit ihren Attributen auf System-und Hidden zu verhindern, dass Benutzer die Entdeckung und Beseitigung seiner Bestandteile.

Die genannten Ordner enthält bestimmte nicht-schädliche Dateien verwendet werden, um die Konfigurations-Informationen, die in der heruntergeladenen Datei zu speichern und das gestohlene Informationen.

Es erstellt und verändert Registry-Schlüssel (n) und Eintrag (en).

Sie schafft einen Mutex, um sicherzustellen, dass nur eine Instanz von sich selbst läuft im Speicher.

Diese Trojan Downloads eine verschlüsselte Datei von einer bestimmten URL und wird mit einem bestimmten Dateinamen.

Sobald entschlüsselt, wird die heruntergeladene Datei enthält Banken-Websites, die diesen Trojaner überwacht. Beachten Sie, dass der Inhalt der Datei, damit die Liste der Websites zu überwachen, zu jeder Zeit ändern können.

Diese Trojaner auch eine Remote-Threads zu spritzen sich in eine bestimmte legitimen Prozess zu bleiben speicherresidenten. Diese Routine kann dieser Trojaner zu laufen, auch wenn das System im abgesicherten Modus.

Es wird versucht, um Informationen aus dem Bank-Institutionen.

Es wird versucht zu stehlen sensible Online-Banking-Informationen. Wenn ein Benutzer versucht, auf einer der überwachten Standorten in der Konfigurationsdatei, es erfasst Benutzereingaben (insbesondere jenen, die in die Eingabefelder für Benutzernamen und Kennwörter) und speichert sie in einer bestimmten Datei. Diese Routine Risiken der Exposition der Benutzer-Account-Informationen, die dann dazu führen, dass die unbefugte Nutzung der gestohlenen Daten.

Die gesammelten Informationen werden in das betroffene System und dann an eine bestimmte URL per HTTP POST.

Es prüft, ob das Vorhandensein bestimmter Prozesse, die im Zusammenhang mit Outpost Personal Firewall und ZoneLabs Firewall Client. Es endet, wenn eine der genannten Verfahren bestehen. Dies ist, um sicherzustellen, dass die Malware läuft ununterbrochen.



Mehr ...