Encyklopedický vstup
Aktualizováno: 17.dubna 2011 | Zveřejněno: Jun 10, 2009 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 17.dubna 2011 | Zveřejněno: Jun 10, 2009 Aliasy
-
Win-Trojan/Bancos (AhnLab)
- W32/Bancos (Command)
- Trojan horse PSW.Banker3 (AVG)
- Trojan.Spy.Banker (BitDefender)
- Win32/Bancos (CA)
- Trojan-Banker.Win32.Bancos (Kaspersky)
- PWS-Banker.gen.i (McAfee)
- Trj/Bancos (Panda)
- Troj/Banker (Sophos)
- Infostealer.Bancos (Symantec)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.123.708.0 Vydáno: 29.března 2012 | Detekce původně vytvořeny: Definice: 1.45.287.0 Datum vydání: Říjen 07, 2008 |
Shrnutí
TrojanSpy:Win32/Bancosje rodina trojských koní, které kradou hesla se zaměřují na konkrétní bankovní webové stránky on-line běžně nacházejí v Brazílii.Pořízené pověření mohou být zaslány k útočníkovi e-mail, FTP, nebo odeslána na vzdálený server pomocí jiného protokolu v závislosti na variantě.
Příznaky
Nejsou žádné běžné příznaky spojené s touto hrozbou. Varovná oznámení z nainstalovaný antivirový software, může být jediným příznakem (y).
Technické informace (analýza)
TrojanSpy:Win32/Bancosje rodina trojských koní, které kradou hesla se zaměřují na konkrétní bankovní webové stránky on-line běžně nacházejí v Brazílii.Pořízené pověření mohou být zaslány k útočníkovi e-mail, FTP, nebo odeslána na vzdálený server pomocí jiného protokolu v závislosti na variantě.
Instalace
Tento trojský kůň může být instalován trojan kapátkem nebo jiným škodlivým softwarem a je často instalován při návštěvě webové stránky modifikovaných útočník, a to iv místě uživatel již mohou důvěřovat. Nejčastější varianty tohoto trojan bude vydávat se na webových stránkách jednotlivých cílových on-line bankovních systémů s cílem oklamat uživatele do zadání své přihlašovací údaje nebo stahování jiný malware.
Rodina Bancos často mění v registru následující podklíče provést Trojan při každém startu Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Ve volné přírodě se tento trojan bylo pozorováno, že mají tyto názvy souborů:
Windows32.exe
win.exe
Arquivos.exe
SXE [0-9]. tmp
sound.exe
service.exe
winupdbc.exe
win.exe
Arquivos.exe
SXE [0-9]. tmp
sound.exe
service.exe
winupdbc.exe
Užitečná
Ukradne citlivá data
Win32/Bancos mohou sledovat webové stránky navštěvuje postižené uživatele a získat přihlašovací údaje pro specifické on-line finančních lokalit, jako jsou následující:
bradesco.com.br
bb.com.br
bancobrasil.com.br
nossacaixa.com.br
cbp.3dsolution.com.br
bb.com.br
bancobrasil.com.br
nossacaixa.com.br
cbp.3dsolution.com.br
Zaslané informace mohou obsahovat následující typy citlivých informací:
Název banky
IP adresa
Uživatelské jméno a heslo pro přihlášení na stránky
MAC Address
IP adresa
Uživatelské jméno a heslo pro přihlášení na stránky
MAC Address
Ukončí softwaru pro zabezpečení
Win32/Bancos může ukončit procesy několika bezpečnostních produktů, jako jsou následující:
Win32/Bancos může ukončit procesy několika bezpečnostních produktů, jako jsou následující:
nod32krn.exe
nod32kui.exe
nod32kui.exe
Kav.exe
McShield.exe
avgamsvr.exe
ccApp.exe
nod32kui.exe
nod32kui.exe
Kav.exe
McShield.exe
avgamsvr.exe
ccApp.exe
Snižuje zabezpečení systému Windows
Win32/Bancos může snížit zabezpečení systému Windows přidáním přípony "vysoce rizikových" typů souborů jako "nízké riziko" úpravou registru dat.
Win32/Bancos může snížit zabezpečení systému Windows přidáním přípony "vysoce rizikových" typů souborů jako "nízké riziko" úpravou registru dat.
Změní hodnotu: "LowRiskFileTypes"
s daty: podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ sdružení
s daty: podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ sdružení
Žádné komentáře:
Okomentovat