Описания: Trojan-Banker.Win32.Banker.alwa - 5 Декабря 2009 - Вирусам и мошенничеству нет!

	Вирусам и мошенничеству нет

Четверг, 16.01.2025, 02:49		Приветствую Вас Гость \| RSS

Новости СМИ2

Меню сайта

Категории новостей

Новости от Касперского [158]

Новости [290]

Новости железа [224]

Закон о защите персональных данных [1]

Гороскопы

Мини-чат

Наш опрос

Статистика

Онлайн всего: 1

Гостей: 1

Пользователей: 0

Главная » » Описания: Trojan-Banker.Win32.Banker.alwa

03:10 Описания: Trojan-Banker.Win32.Banker.alwa
Описания: Trojan-Banker.Win32.Banker.alwa Технические детали Троянская программа-шпион. Предназначена для кражи конфиденциальной финансовой информации. Похищает конфиденциальную информацию клиентов банка Banco Brasil. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 103936 байт. Упакована при помощи UPX. Распакованный размер около – 265 байт. Написана на C++. Деструктивная активность Данная вредоносная библиотека внедряется программой загрузчиком в адресные пространства следующих процессов: iexplore.exe firefox.exe java.exe javaw.exe Затем вредонос устанавливает системные перехватчики на функции HttpSendRequestW(), HttpSendRequestA(), HttpOpenRequestA(). Перехватывает обращения по следующим адресам: https://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH=sim https://www2.bancobrasil.com.br/aapf/relacionamento/mcib.jsp https://www2.bancobrasil.com.br/aapf/principal.jsp https://www2.bancobrasil.com.br/aapf/includes/sair.jsp https://www2.bancobrasil.com.br/aapf/login.jsp https://www2.bancobrasil.com.br/aapf/relacionamento/mcib.jsp Затем похищает все конфиденциальные данные, вводимые пользователем в поля форм на страницах сайта. Похищает следующие значения: hashcode titular dependenciaorigem agencia numerocontratoorigem conta senhaconta numcod numconta senhaconta updatehash Также собирает системную информацию – имя пользователя, имя компьютера, ID процессора, версию ОС, MAC адрес. Полученные данные вредонос помещает в "dat" файл, который сохраняет по следующему пути: %Temp%\gbphw\<rnd>.dat где rnd – случайная цифробуквенная последовательность. Все похищенные данные вредонос отправляет в запросе POST по следующему URL: http://mansve*****hostia.com/friends/post.php Создает ключ системного реестра: [HKCU\Software\Microsoft\Windows\INetSec] Рекомендации по удалению Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: При помощи Диспетчера задач завершить процессы: iexplore.exe firefox.exe java.exe javaw.exe Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить файл: %Temp%\gbphw\.dat Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию). Информация с официального сайта Касперского
1 2 3 4 5 Категория: Новости от Касперского \| Просмотров: 1976 \| Добавил: Admin \| Рейтинг: 0.0/0

Всего комментариев: 0

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]

Поиск

Форма входа

Календарь

Архив записей

Друзья сайта

Обявления. Покупка и продажа автомобилей.

Магазин PIN-кодов

Официальный блог

Сообщество uCoz

FAQ по системе

Инструкции для uCoz

Светящиеся LED колпаки

Новости СМИ2

Copyright MyCorp © 2025