PWSteal.Tarno.K là chương trình Trojan đánh cắp mật khẩu khi người dùng điền vào các form khai báo trên trang web.
Hệ điều hành lây nhiễm
UNIX, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Mô tả:
Khi thực thi, PWSteal.Tarno.K sẽ tiến hành các tác vụ sau:
1. Tạo ra các file sau:
%system%\inst.exe
%system%\IEHelper.dll
2. Đăng ký file IEHelper.dll như một đối tượng trợ giúp trình duyệt, để Trojan có thể tự động chạy mỗi khởi Internet Explorer (IE) được kích hoạt.
3. Tạo ra khoá registry sau:
HKEY_CLASSES_ROOT\CLSID\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}
HKEY_CLASSES_ROOT\IEHelper.IEHelperOP
4. Theo dõi các cửa sổ trình duyệt có từ khoá sau:
financial
gold
cash
bank
pas
log
user
usr
pwd
psw
5. Theo dõi các cửa sổ trình duyệt có các chuỗi ký tự sau:
barclays
memorable word
IBARC
nwolb
Please enter the
INATS
lloydstsb
Please enter characters
ILOY
halifax
Password
IKALIF
anbusiness
Passcode
6. Chụp và ghi các tác vụ thực hiện trên màn hình nếu cửa sổ trình duyệt có từ khoá trùng với các từ quy định của chương trình.
7. Ghi các thông tin thu nhận được vào file: %system%\Log\mtspag.drv.
8. Gửi thông tin thu thập tới địa chỉ: http:/ /wmmen.com/uk/logout.php