Trojan.PWS.Banker.64540 - троян подменяющий содержимое веб-страниц


Trojan.PWS.Banker.64540 - вредоносная программа, благодаря которой злоумышленники могут организовывать фишинговые атаки на пользователей инфицированных компьютеров.

Троян Trojan.PWS.Banker.64540 состоит из исполняемого файла и динамической библиотеки. Его размер - 80 Кбайт. Троян использует для своего распространения ресурсы известной бот-сети Andromeda.

Запустившись на инфицированной машине, Trojan.PWS.Banker.64540 копирует себя в одну из папок под именем

  • msvcrt.exe

и прописывает ссылку на данный файл в ветвь системного реестра, отвечающую за автоматическую загрузку приложений. Троян проверяет, установлен ли он в системе. После этого вредоносная программа запускает себя на исполнение и внедряет код самоудаления в процесс

  • svchost.exe


Информацию о выполненных операциях эта программа сохраняет в специально созданном файле журнала.

Select Hiew inject dll

После запуска троян осуществляет поиск данных по определенному шаблону в файлах, хранящихся на всех дисках инфицированного компьютера, кроме диска А. Обнаруженную информацию троян шифрует и отправляет на один из принадлежащих злоумышленникам серверов, адреса которых хранятся в теле вредоносной программы.

Основное предназначение Trojan.PWS.Banker.64540 — внедрение в Internet Explorer собственного компонента. Он содержит веб-инжекты, позволяющие подменять содержимое веб-страниц при обращении к ряду сайтов, таких как

  • visa.com;
  • mastercard.com;
  • americanexpress.com;
  • discovercard.com.