Trojan.Gletta.A là loại Trojan đánh cắp mật khẩu tài khoản ngân hàng. Ngoài ra, phần mềm này còn có chức năng của một keylogger, ghi các tác vụ bàn phím khi người dùng ghé thăm một số website không an toàn rồi gửi thông tin đó cho kẻ tấn công.
Trojan.Gletta.A
Ngày xuất hiện: 9/6/2004
Mô tả:
Khi thực thi, Trojan.Gletta.A sẽ thực hiện các tác vụ sau:
1. Tự nhân bản vào thư mục hệ thống với các tên sau:
%System%\Wmiprvse.exe
%System%\Ntsvc.exe
%Windir%\Userlogon.exe
Chú ý:
+ %System% là một biến và Trojan.Gletta.A có thể xác định được vị trí của thư mục hệ thống này rồi tự nhân bản vào đó. Theo mặc định, vị trí đó sẽ là: C:\Windows\System (đối với Windows 95/98/Me); C:\Winnt\System32 (đối với Windows NT/2000), hoặc C:\Windows\System32 (đối với Windows XP).
+ %Windir% là một một biến và Trojan.Gletta.A có thể xác định được thư mục cài đặt Windows này rồi tự nhân bản vào đó (mặc định sẽ là: C:\Windows hoặc C:\Winnt).
2. Tạo file %System%\Rsasec.dll, thực chất là một phần mềm ghi tác vụ bàn phím.
3. Tạo file %System%\rsacb.dll, thực chất là một file text.
4. Thêm giá trị:
"wmiprvse.exe"="%system%\wmiprvse.exe" vào khóa registry để sau có thể tự động chạy khi hệ thống khởi động:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
5. Đối với NT/2000/XP, Trojan.Gletta.A sẽ bổ sung giá trị sau:
"Run" = "%Windir%\userlogon.exe"
vào khóa registry để sau có thể tự động chạy khi hệ thống khởi động:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\
CurrentVersion\Windows
6. Đối với Windows 95/98/Me, Trojan.Gletta.A sẽ bổ sung giá trị:
run=%Windir%\userlogon.exe
vào tệp tin Win.ini để Trojan có thể tự động chạy khi hệ thống khởi động:
7. Đối với Windows 95/98/Me, Trojan.Gletta.A sẽ thay đổi dòng "shell=" thành:
shell=explorer.exe %system%\ntsvc.exe
để Trojan có thể tự động chạy khi hệ thống khởi động:
8. Trojan.Gletta.A sẽ ghi tác vụ bàn phím từ cửa sổ Internet Explorer có các tên sau:
National Australia Bank
ANZ Internet Banking - Logon
National Internet Banking
Citibank Australia
Welcome to Citi
Welcome to Citibank
Citi - Sign On
Bank of China
online@hsbc
HSBC in Hong Kong
Banesto
Sabadell
hoặc các địa chỉ sau:
https:/ /olb.westpac.com.au/ib/asp/
https:/ /olb.westpac.com.au/ib/
- Trojan.Gletta.A dùng động cơ SMTP riêng để gửi tệp tin lưu giữ thông tin về tác vụ bàn phím cho một địa chỉ e-mail bên ngoài. Trojan sử dụng máy chủ SMTP ở Nga để gửi thư.
E-mail này có những đặc điểm sau:
+ Dòng FROM và TO có cùng một tên miền "mail.ru"
+ Tiêu đề bắt đầu với dòng chữ: "Business News from"