По данным экспертов компании, троян состоит из двух частей – исполняемого файла и динамической библиотеки. Для распространения вредонос использует бот-сеть Andromeda.
«Запустившись на инфицированной машине, Trojan.PWS.Banker.64540 копирует себя в одну из папок под именем msvcrt.exe и прописывает ссылку на данный файл в ветвь системного реестра, отвечающую за автоматическую загрузку приложений. Троян проверяет, установлен ли он в системе. После этого вредоносная программа запускает себя на исполнение и внедряет код самоудаления в процесс svchost.exe. Информацию о выполненных операциях эта программа сохраняет в специально созданном файле журнала», - сообщает «Доктор Веб». Далее вредонос сканирует все диски на зараженном компьютере, проводя поиск информации по определенному шаблону. Найденные подходящие данные программа шифрует и отправляет злоумышленникам, адрес ресурса которых прописан в теле самого вируса.
Эксперты отметили, что основное отличие Trojan.PWS.Banker.64540 состоит в том, что программа прописывает в Internet Explorer собственное содержимое. «Вирус содержит веб-инжекты, позволяющие подменять содержимое web-страниц при обращении к ряду сайтов, таких как visa.com, mastercard.com, americanexpress.com, discovercard.com», - говорится в сообщении антивирусной компании.
