Trojan.Bakloma.A

SYMPTOMS:

Prezenta unui fisier numit winuser.exe in directorul %WINDIR%

TECHNICAL DESCRIPTION:

Troianul este trimis ca spam prin email si pare a fi actualizarea unui produs antivirus care averizeaza desre un nou virus aflat in circulatie. Emailul are urmatorul text (traducere din limba portugheza):

Atentie! Emailul dumneavoastra poate fi blocat. Ce face virusul? Trimite mesaje care contin o arhiva infectata catre toate contactele dvs. Astfel cand veti deschide mesajul, acesta se va trimite catre alte adrese de email si destinatarii vor fi infectati. Trimiterea mesajelor in masa prin intermediul Internetului este considerata ilegala si din acest motiv emailul dvs. ar putea fi blocat. Utilitarul de dezinfectie este disponibil pentru download la adresa: http://[REMOVED]/SecurityCheck/update170706.htm Pentru a va proteja emailul si a preveni blocarea lui, va rugam sa folositi acest utilitar de dezinfectie si sa trimiteti acest email catre toate lista de contacte care s-a infectat.

Emailul contine un fisier executabil de 419Kbytes. Odata rulat, isi face o copie in directorul %WINDIR% si creeaza urmatoarea cheie de intrare in registrii (astfel, va rula de fiecare data cand Windows-ul este pornit):

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\" " = C:\%WINDIR%\Winuser.exe

Troianul incearca sa fure conturi de Internet Banking, afisand ferestre de dialog similare cu cele ale unui astfel de serviciu, cerand informatiile de logare. Odata ce a strans aceste informatii, le trimite catre atacator.

Removal instructions:

Lasati BitDefender sa stearga fisierul infectat.

ANALYZED BY:

Raul Tosa, BitDefender virus researcher