SecurityHome.eu TrojanProxy:JS/Banker.N

Home / malware PDF

TrojanProxy:JS/Banker.N

First posted on 18 May 2012.
Source: Microsoft
Aliases :
There are no other names known for TrojanProxy:JS/Banker.N.
Explanation :

TrojanProxy:JS/Banker.N is a malicious JScript proxy configuration file that may redirect your browser traffic through an attacker-controlled proxy server.

Installation

TrojanProxy:JS/Banker.N may may be downloaded into the computer by TrojanDropper:Win32/Banker.J. It may have the file name "%Temp%\AVM5.txt".

Payload

Directs Internet traffic through a proxy server

TrojanProxy:JS/Banker.N monitors if your browser has accessed any of the following websites. If so, it directs Internet traffic to these sites through the proxy server indicated in its code, possibly to inject malicious code and steal information:

americanexpress.com

americanexpress.com.br

bancodobrasil.com.br

bancoreal.com.br

banese.b.br

banese.com.br

bb.com.br

bradesco.com

bradesco.com.br

bradesconetempresa.com.br

bradescopessoajuridica.com.br

bradescoprime.com.br

carcheck.com.br

cetelem.com.br

checktudo.com

checktudo.com.br

cielo.com.br

citibank.com.br

equifax.com.br

gmail.com

gmail.com.br

hipercard.com.br

hotmail.com

hsbc.com

hsbc.com.br

itau.com.br

itaupersonnalite.com.br

itauprivatebank.com.br

itauuniclass.com

itauuniclass.com.br

mastecard.com.br

paypal.com

paypal.com.br

real.com.br

santander.com.br

santanderbanespa.com.br

serasa.com.br

serasaexperian.com.br

sicredi.com.br

tam.com.br

visa.com.br

www.americanexpress.com

www.americanexpress.com.br

www.bancobrasil.com.br

www.bancodobrasil.com.br

www.bancoreal.com.br

www.banese.b.br

www.banese.com.br

www.bb.com

www.bb.com.br

www.bradesco.com

www.bradesco.com.br

www.bradesconetempresa.com.br

www.bradescopessoajuridica.com.br

www.bradescoprime.com.br

www.carcheck.com.br

www.cetelem.com.br

www.checktudo.com

www.checktudo.com.br

www.cielo.com.br

www.citibank.com.br

www.credicard.com.br

www.equifax.com.br

www.gmail.com

www.gmail.com.br

www.hipercard.com.br

www.hotmail.com

www.hotmail.com.br

www.hsbc.com

www.hsbc.com.br

www.itau.com.br

www.itaupersonnalite.com.br

www.itauprivatebank.com.br

www.itauuniclass.com

www.itauuniclass.com.br

www.mastecard.com.br

www.paypal.com

www.paypal.com.br

www.real.com.br

www.santander.com.br

www.santanderbanespa.com.br

www.santanderempresarial.com.br

www.serasa.com.br

www.serasaexperian.com.br

www.sicredi.com.br

www.tam.com.br

www.visa.com.br

In the wild, we have seen the following URLs has been used by this trojan as proxy servers:

cmd.linetimex.org:80

driver.linetimex.org:80

psaux.letongos.org:80

Analysis by Wei Li

Last update 18 May 2012

TOP

Malware :

Last 20

TrojanProxy:JS/Banker.N

Aliases :

Explanation :

Malware :

Family: