Dit Trojaanse aankomt op een systeem als een bestand daalde met andere malware of als een gedownload bestand van een bepaalde URL.

Bij de uitvoering, dit Trojaanse druppels een kopie van zichzelf in de Windows systeemmap.

Het creëert een bepaalde map met zijn attributen ingesteld op Systeem en verborgen om te voorkomen dat gebruikers het ontdekken en het verwijderen van de componenten.

De genoemde map bevat een aantal niet-schadelijke bestanden gebruikt om de configuratie-informatie gevonden in het gedownloade bestand op te slaan en de gestolen informatie verzameld.

Het creëert en wijzigt register sleutel (s) en vermelding (en).

Het creëert een Mutex om ervoor te zorgen dat slechts een exemplaar van zelf actief is in het geheugen.

Deze Trojan downloadt een versleuteld configuratie bestand van een bepaalde URL en wordt opgeslagen met behulp van een bepaalde bestandsnaam.

Zodra ontcijferd, het gedownloade bestand bevat banking-gerelateerde websites die deze Trojaanse monitoren. Merk op dat de inhoud van het bestand, dus de lijst van websites te controleren, kan elk moment veranderen.

Deze Trojan maakt ook een afstandsbediening draad te injecteren zelf in een bepaalde legitieme proces verblijven geheugen woont. Deze routine maakt deze trojan te draaien, zelfs wanneer het systeem in de veilige modus.

Hij probeert op te halen informatie van bank-gerelateerde instellingen.

Het probeert te stelen gevoelige informatie online bankieren. Wanneer een gebruiker probeert om toegang te krijgen tot een van de gecontroleerde sites in het configuratie bestand, het "input van de gebruiker (in het bijzonder die welke zijn opgenomen in de invoervakken ontworpen voor gebruikersnamen en wachtwoorden) en slaat deze op in een bepaald bestand. Deze routine gevaren van de blootstelling van de account van de gebruiker informatie, die kan dan leiden tot het ongeoorloofd gebruik van de gestolen gegevens.

De verzamelde informatie wordt opgeslagen in het getroffen systeem en vervolgens verstuurd naar een bepaalde URL via HTTP POST.

Het controleert op de aanwezigheid van bepaalde processen die gerelateerd zijn aan Outpost Personal Firewall en ZoneLabs Firewall Client. Het eindigt wanneer een van de genoemde processen bestaan. Dit is om ervoor te zorgen dat de malware wordt uitgevoerd ononderbroken.



Meer ...