Banbra.GDB

Признаки:
При старте создает следующие файлы:
SORRIA.EXE, QBPLG.EXE, REPAIRMSN.EXE, RESENDER.EXE, SRVC.EXE, MFC[1].DOC, GLP.EXE и NAVEGADOR.EXE;
ASSUNTO[1].JPEG, USER[1].JPEG и MASK[1].JPEG - шаблоны для рассылаемых писем;
ARQUIVO.TXT, ASSUNTO.TXT, CONFIG.TXT, DE.TXT, MASK.TXT и USERX.TXT - зашифрованные файлы настроек.

Письмо, рассылаемое от имени полиции, уведомляет пользователя о посещении нелегальных сайтов и предлагает просмотреть данные расследования, находящиеся по ссылке в ZIP-архиве, который содержит исполняемую копию червя.

Письмо с предложением дружбы также содержит ссылку на копию червя.
Червь написан на языке Visual C++; упакован PKLite32.


ЗАЩИТА:
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)


Действие:
Троян для платформы Windows. Предназначен для кражи реквизитов доступа к одному из онлайн-банков Бразилии. Для кражи реквизитов троян перехватывает ввод с клавиатуры и делает скриншоты, позволяющие снять информацию с виртуальной клавиатуры на сайте банка.

Распространяется посредством рассылки по электронной почте всем, кто находится в списке контактов жертвы. Сообщение может быть двух видов: замаскированное под письмо от Федеральной полиции Бразилии с обвинениями, либо сообщение с предложением дружбы.