Classe principal: TrojWare
Os cavalos de Tróia são programas mal-intencionados que executam ações que não são autorizadas pelo usuário: eles excluem, bloqueiam, modificam ou copiam dados e interrompem o desempenho de computadores ou redes de computadores. Ao contrário dos vírus e worms, as ameaças que se enquadram nessa categoria não conseguem fazer cópias de si mesmas ou se auto-replicar. Os cavalos de Tróia são classificados de acordo com o tipo de ação que executam em um computador infectado.Classe: Trojan
Um programa malicioso projetado para espionar eletronicamente as atividades do usuário (interceptar entradas de teclado, fazer capturas de tela, capturar uma lista de aplicativos ativos, etc.). As informações coletadas são enviadas ao cibercriminoso por vários meios, incluindo e-mail, FTP e HTTP (enviando dados em uma solicitação).Plataforma: Win32
O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.Descrição
Detalhes técnicos
Este é o programa trojan Win95 / 98 / ME que ataca o desktop de informações financeiras da Xpresso (consulte http://www.spxpresso.com). O trojan pretende modificar as transações financeiras, provavelmente para encaminhar essas transações para a conta bancária do hacker. O trojan faz isso afetando a biblioteca de tempo de execução Java que é usada pelo cliente Xpresso, que é escrito em Java.
O trojan não foi testado em virus-lab, por isso não podemos garantir o encaminhamento de transferências de dinheiro para uma conta de hacker ou qualquer outra. O fato é que o trojan intercepta as transações e modifica os dados nos blocos de controle de transação.
O trojan é distribuído sendo anexado aos arquivos Win32 PE do Win32. O código do trojan é colocado no final dos arquivos EXE do PE de forma semelhante a vírus. Quando o arquivo afetado é executado, o código do trojan obtém o controle e instala o componente trojan principal no sistema. O controle é então retornado para o arquivo host.
O trojan não pode afetar outros arquivos EXE do PE por si só. Houve um especial "soltando" trojan componente (linha de comando de aplicativo Win32) encontrado que trojan código anexado a vítima PE arquivos EXE por solicitação do usuário.
Durante a instalação no sistema, o trojan extrai de seu código o componente VxD (componente trojan principal) e o grava no arquivo MSREBOOT.VXD recém-criado para o diretório de sistema do Windows. Este VxD é então registrado na chave de registro "Serviços VxD".
Há também mais chaves criadas lá:
HKLMSystemCurrentControlSetServicesVxDREBOOT
RebootData = [dados de comprimento zero]
Partida = 00
StaticVxD = "* REBOOT, MSREBOOT.VXD"
Primeira chave indica a data em que o trojan será desinstalado do sistema. O trojan, em seguida, limpa seu arquivo VXD com zeros e, em seguida, exclui esse arquivo.
A segunda chave é desconhecida.
A terceira chave é a chave de registro de carregamento automático que força o Windows a carregar e ativar o arquivo VXD quando o Windows está sendo inicializado.
Quando o arquivo trojan VXD é ativado, o procedimento principal do trojan monitora o processo de abertura do arquivo e procura a biblioteca de tempo de execução Java JRT3230.DLL. O trojan, em seguida, ignora o carregamento da biblioteca, espera quando o carregamento é concluído e conecta a função Java "do_execute_java_method_vararg".
O hooker, em seguida, conecta todos os dados que são processados por essa função, incluindo as transferências bancárias que são feitas com o uso do cliente Xpresso. O trojan analisa a estrutura de solicitação de transferência e substitui alguns campos nessa solicitação por outros valores. Parece que o trojan substitui o número da conta bancária de destino original por um do hacker.
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com