このトロイの木馬は、ファイルシステムとして、他のマルウェアや特定のURLからダウンロードしたファイルとして下落に到着します。

実行時には、このトロイの木馬は、 Windowsのシステムフォルダ内に自身のコピーをドロップします。

そのシステムと隠し属性を発見するとそのコンポーネントの削除を防ぐために設定されてからユーザーを特定のフォルダを作成します。

特定のフォルダ以外の悪意のあるファイルは、設定情報を保存するために使用が含まれている、ダウンロードした設定ファイルが盗まれたとの情報を収集保存してください。

それを作成し、レジストリキー（変更）とエントリ（ ies ） 。

それはそれ自身のメモリ内に1つのインスタンスのみを実行していることを確認するためのミューテックスを作成します。

このトロイの木馬は、特定のURLからダウンロードし、暗号化された構成ファイルに特定のファイル名を使用して保存されます。

いったん復号化、ダウンロードした設定ファイルを、このトロイの木馬は、銀行関連のWebサイトを監視されています。は、そのファイルの内容を、そのためのWebサイトのリストを監視し、注意してくださいいつでも変更することがあります。

このトロイの木馬は、特定の正当なプロセスにメモリ常駐滞在に自分自身を注入するには、リモートのスレッドが作成されます。場合でも、このルーチンは、システムをセーフモードで実行するように、このトロイの木馬が可能になります。

また金融機関からの情報関連の取得を試みます。

オンラインバンキングは機密情報を盗むを試みます。ユーザーがいずれかの構成ファイルの監視のサイトにアクセスしようとすると、それ（具体的には、入力ボックスにユーザー名とパスワードのために設計）を入力して、特定のファイルに保存、ユーザー入力をキャプチャします。このルーチンのリスクをして、盗まれたデータの不正使用につながる可能性がありますは、ユーザーのアカウント情報の暴露。

は、集まった情報は、影響を受けるシステムに格納され、その後のHTTP POSTを介して特定のURLに送信されます。

パーソナルファイアウォール、ファイアウォールのOutpost ZoneLabsは、クライアントに関連している特定のプロセスが存在するがチェックされます。のいずれかのプロセスが存在した場合には終了する。これは、マルウェアを実行するために中断されています。



更に...