Компанія «Доктор Веб» повідомила про поширення шкідливої програми Trojan.PWS.Banker.64540, завдяки якій зловмисники можуть організовувати фішингові атаки на користувачів інфікованих комп'ютерів.
Троянець Trojan.PWS.Banker.64540 складається з двох компонентів: виконуваного файла і динамічної бібліотеки, при цьому він має дуже невеликий розмір, близько 80 Кбайт. Ця шкідлива програма використовує для свого поширення ресурси відомої бот-мережі Andromeda. Запустившись на інфікованій машині, Trojan.PWS.Banker.64540 копіює себе в одну з тек під ім'ям msvcrt.exe і прописує посилання на цей файл у гілку системного реєстру, що відповідає за автоматичне завантаження додатків. Троянець перевіряє, чи встановлено його в системі. Після цього шкідлива програма запускає себе на виконання і впроваджує код самовидалення в процес svchost.exe. Інформацію про виконані операції ця програма зберігає у спеціально створеному файлі журналу.
Після запуску троянець здійснює пошук даних за певним шаблоном у файлах, що зберігаються на всіх дисках інфікованого комп'ютера, крім диска А. Виявлену інформацію троянець шифрує і відправляє на один із належних зловмисникам серверів, адреси яких зберігаються в тілі шкідливої програми.
Основне призначення Trojan.PWS.Banker.64540 - впровадження в Internet Explorer власного компонента. Він містить веб-інжекти, що дозволяють підміняти вміст веб-сторінок при зверненні до ряду сайтів, таких як visa.com, mastercard.com, americanexpress.com, discovercard.com.
