1 min

Tags in dit artikel

, , , ,

In sommige gevallen maken Trojaanse paarden na het plunderen van de bankrekening het Windows-besturingssysteem onklaar. Dit geeft aanvallers meer tijd om geld van de bankrekening te halen.

De drie beruchte banking Trojans InfoStealer, Zeus en Nethell bevatten alle drie een killswitch. Indien geactiveerd, verwijdert Nethell de essentiële Windows-bestanden NTDETECT.COM en NTLDR. Hierna wordt het KILLWINANDREBOOT-commando uitgevoerd.

InfoStealer pakt het anders aan en verwijdert simpelweg alle drivers in de system32-directory en alle registersleutels die het aanmelden mogelijk maken. Zeus verwijdert eveneens registersleutels, maar stuurt vervolgens een 0E-commando waardoor het virtuele geheugen met 0 bytes wordt volgeschreven en een BSOD ontstaat.

De reden dat deze drie Trojaanse paarden het Windows-besturingssysteem defect maken, is om meer tijd te winnen om de rekening leeg te plunderen. Indien een gebruiker namelijk niet inlogt op zijn telebankierrekening vallen de ongeldige transacties pas later op.

Bovendien blijft de malware gewoon achter op het systeem, dus het is niet de bedoeling om sporen uit te wissen, zo meldt Jozsef Gegeny die de malware analyseerde.