Новый троян угрожает финансам испанцев
Новый троян распространяется через Messenger, используя методы шпионских программ и фишинга. Его целью являются пользователи онлайновых банков в испано-говорящих странах.
Несколько часов назад было зафиксировано появление нового трояна Nabload.U, распространяющегося через Messenger. Этот троян скачивает другого трояна, под названием Banker.bsx, который в настоящий момент занимает первое место по количеству обнаружений в рейтинге онлайнового антивируса Panda ActiveScan. Его целью является получение паролей определенных банков, в основном используемых испано-говорящими пользователями.
Наиболее необычным аспектом этого трояна является его способность записывать информацию, не используя традиционного клавиатурного шпиона. Пользователь не осознает, что это происходит. Банки, использующие виртуальные клавиатуры во избежание клавиатурных шпионов не будут защищены от этого трояна. Полученную информацию троян пересылает своим создателям.
После того, как автор получает информацию, он может совершать мошеннические действия в отношении счетов.
Nabload.U использует методы социальной инженерии для того, чтобы заставить пользователя нажать на предоставленный URL. Предложение на испанском: “ve esa vaina http://hometown.%eliminado%.au/miralafoto/foto.exe.” - замаскировано как личный контакт. Когда пользователь нажимает на URL, на его компьютер скачивается троян Banker.BSX. Он также предлагает два прочих URL: http://hometown.%eliminado%.au/arqarq/coco2006.jpg и http://hometown.%eliminado%.au/modnatal/coco2006.jpg, скачивающие конфигурационный файл. Кроме прочей информации, в этом файле содержится электронный адрес, на который отправляются украденные данные.
Этот троян открывает порт 1106 и остается активным. Когда пользователь пытается открыть один из онлайновых банков, перечисленных ниже, троян записывает то, что пользователь делает на экране, включая логин и пароль, набранные на виртуальной клавиатуре для доступа к банковскому счету.
После того как Троян записал информацию, он отправляет ее на электронный адрес автора вируса. Автор может изменять этот адрес по своему желанию.