Trojan.PWS.Banker1.28321

SHA1:

Загрузчик:

• 0bc9a778a28ba6abba92330d750fc9769484a9a5
  e9b510a2c58638d00b8a4af7e4f49e8d3a52bcd3
  f2f2eb334719ef6b7a2a522a7eac6f33ee7c810d
  f4b49b874e3715926eaf56d574408a63353b2753
  f10e8e3362834843c9df8bdd5316912c8185e547
  f494bc28a86332db98efbb049b9f9981ef24fd8b
  f5846e4990aa5af2f7e1268223b1710415f11459
  fb64604fbbbdfa888aeb090df7008c15b2e25fe6
  fe2924d1e3d5215273e672e1ea4bb2b1ee57e5e8
      

VBScript

• 9dbc627eae65c147f996ef2a524ed89603ade13c
  b8b4fc9efccbeddc39ee0d825ed2e3037ee85efc
  c71e5f572a659774ab0c0a52da40013709408823
      

Динамические библиотеки:

• 2f7be7a0649288a9bb72fad0e5fb2a38031edf9b
  6c83a4a362c730066c63986369213ce05c666e35
  5fa08c5e4595040c89540ef1194d53916ba5820c
  7c5f3e935bfc1deb0460b9c9649cf75568cdbb71
  8611f08c570a1dcf42b7d2961a3757367eb650a0
  f18a4ed258540e3b0da4c3d66d144317a6f23066
      

Банковский троянец для ОС Windows, ориентированный на клиентов бразильских кредитных организаций. Написан на .NET, загрузчик реализован в виде обфусцированного сценария VBScript, который запускается на исполнение с использованием msscriptcontrol. Распространяется под видом приложения Adobe Reader.

При запуске сценарий проверяет локальные настройки Windows на наличие португальского языка ("1046"), а также ищет в окружении виртуальную машину:

   Select Case sBIOSVersion
        Case "VRTUAL - 1000831"
            bIsVM = true
            sVMPlatform = "Hyper-V 2008 Beta or RC0"
        Case "VRTUAL - 5000805", "BIOS Date: 05/05/08 20:35:56  Ver: 08.00.02"
            bIsVM = true
            sVMPlatform = "Hyper-V 2008 RTM"
        Case "VRTUAL - 3000919"
            bIsVM = true
            sVMPlatform = "Hyper-V 2008 R2"
        Case "A M I  - 2000622"
            bIsVM = true
            sVMPlatform = "VS2005R2SP1 or VPC2007"
        Case "A M I  - 9000520"
            bIsVM = true
            sVMPlatform = "VS2005R2"
        Case "A M I  - 9000816", "A M I  - 6000901"
            bIsVM = true
            sVMPlatform = "Windows Virtual PC"
        Case "A M I  - 8000314"
            bIsVM = true
            sVMPlatform = "VS2005 or VPC2004"
        End Select
    ElseIf sModel = "VMware Virtual Platform" then
        ' VMware detected
        sVMPlatform = "VMware"
        bIsVM = true
    ElseIf sModel  = "VirtualBox" then
        ' VirtualBox detected
        bIsVM = true
        sVMPlatform = "VirtualBox"
    Else
        ' This computer does not appear to be a virtual machine.
    End if

Соединившись с управляющим сервером, адрес которого в зашифрованном виде хранится в теле троянца, банкер скачивает оттуда два ZIP-архива с обфусцированными динамическими библиотеками, созданными в среде разработки Delphi. Во второй библиотеке сосредоточены основные вредоносные функции троянца.

Когда пользователи открывают в окне браузера сайты интернет-банков ряда бразильских финансовых организаций, Trojan.PWS.Banker1.28321 незаметно подменяет веб-страницу, показывая жертве поддельную форму для ввода логина и пароля, а в некоторых случаях — просит указать проверочный код авторизации из полученного от банка СМС-сообщения. Эту информацию троянец передает злоумышленникам.

Новость о троянце