ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Trojan.Win32.Angriff

Classe Trojan
Plataforma Win32
Descrição

Detalhes técnicos

Este é o programa trojan Win95 / 98 / ME que ataca o desktop de informações financeiras da Xpresso (consulte http://www.spxpresso.com). O trojan pretende modificar as transações financeiras, provavelmente para encaminhar essas transações para a conta bancária do hacker. O trojan faz isso afetando a biblioteca de tempo de execução Java que é usada pelo cliente Xpresso, que é escrito em Java.

O trojan não foi testado em virus-lab, por isso não podemos garantir o encaminhamento de transferências de dinheiro para uma conta de hacker ou qualquer outra. O fato é que o trojan intercepta as transações e modifica os dados nos blocos de controle de transação.

O trojan é distribuído sendo anexado aos arquivos Win32 PE do Win32. O código do trojan é colocado no final dos arquivos EXE do PE de forma semelhante a vírus. Quando o arquivo afetado é executado, o código do trojan obtém o controle e instala o componente trojan principal no sistema. O controle é então retornado para o arquivo host.

O trojan não pode afetar outros arquivos EXE do PE por si só. Houve um especial "soltando" trojan componente (linha de comando de aplicativo Win32) encontrado que trojan código anexado a vítima PE arquivos EXE por solicitação do usuário.

Durante a instalação no sistema, o trojan extrai de seu código o componente VxD (componente trojan principal) e o grava no arquivo MSREBOOT.VXD recém-criado para o diretório de sistema do Windows. Este VxD é então registrado na chave de registro "Serviços VxD".

Há também mais chaves criadas lá:

HKLMSystemCurrentControlSetServicesVxDREBOOT
RebootData = [dados de comprimento zero]
Partida = 00
StaticVxD = "* REBOOT, MSREBOOT.VXD"

Primeira chave indica a data em que o trojan será desinstalado do sistema. O trojan, em seguida, limpa seu arquivo VXD com zeros e, em seguida, exclui esse arquivo.

A segunda chave é desconhecida.

A terceira chave é a chave de registro de carregamento automático que força o Windows a carregar e ativar o arquivo VXD quando o Windows está sendo inicializado.

Quando o arquivo trojan VXD é ativado, o procedimento principal do trojan monitora o processo de abertura do arquivo e procura a biblioteca de tempo de execução Java JRT3230.DLL. O trojan, em seguida, ignora o carregamento da biblioteca, espera quando o carregamento é concluído e conecta a função Java "do_execute_java_method_vararg".

O hooker, em seguida, conecta todos os dados que são processados ​​por essa função, incluindo as transferências bancárias que são feitas com o uso do cliente Xpresso. O trojan analisa a estrutura de solicitação de transferência e substitui alguns campos nessa solicitação por outros valores. Parece que o trojan substitui o número da conta bancária de destino original por um do hacker.


Link para o original