TROJ_BANKER.SMA
Windows 2000, Windows XP, Windows Server 2003
Tipo de grayware:
Trojan
Destrutivo:
Não
Criptografado:
Sim
In the Wild:
Sim
Visão geral
Versucht, Daten von Banken oder Geldinstituten, die in einer Liste aufgeführt sind, zu erhalten:
Detalhes técnicos
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:
- %System%\appconf32.exe
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Autostart-Technik
Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%System%\appconf32.exe,"
(Note: The default value data of the said registry entry is %System%\userinit.exe,.)
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
prh
prh = "http://{BLOCKED}saname.com"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings
ver = "328"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings
vendor = "Old"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings
prd = "http://{BLOCKED}saname.com"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings
w8 = "{Hex Values}"
Angegriffene Elemente
Versucht, Daten von Banken oder Geldinstituten, die in einer Liste aufgeführt sind, zu erhalten: