Home / malware TrojanProxy:JS/Banker.N
First posted on 18 May 2012.
Source: MicrosoftAliases :
There are no other names known for TrojanProxy:JS/Banker.N.
Explanation :
TrojanProxy:JS/Banker.N is a malicious JScript proxy configuration file that may redirect your browser traffic through an attacker-controlled proxy server.
Installation
TrojanProxy:JS/Banker.N may may be downloaded into the computer by TrojanDropper:Win32/Banker.J. It may have the file name "%Temp%\AVM5.txt".
Payload
Directs Internet traffic through a proxy server
TrojanProxy:JS/Banker.N monitors if your browser has accessed any of the following websites. If so, it directs Internet traffic to these sites through the proxy server indicated in its code, possibly to inject malicious code and steal information:
- americanexpress.com
- americanexpress.com.br
- bancodobrasil.com.br
- bancoreal.com.br
- banese.b.br
- banese.com.br
- bb.com.br
- bradesco.com
- bradesco.com.br
- bradesconetempresa.com.br
- bradescopessoajuridica.com.br
- bradescoprime.com.br
- carcheck.com.br
- cetelem.com.br
- checktudo.com
- checktudo.com.br
- cielo.com.br
- citibank.com.br
- equifax.com.br
- gmail.com
- gmail.com.br
- hipercard.com.br
- hotmail.com
- hsbc.com
- hsbc.com.br
- itau.com.br
- itaupersonnalite.com.br
- itauprivatebank.com.br
- itauuniclass.com
- itauuniclass.com.br
- mastecard.com.br
- paypal.com
- paypal.com.br
- real.com.br
- santander.com.br
- santanderbanespa.com.br
- serasa.com.br
- serasaexperian.com.br
- sicredi.com.br
- tam.com.br
- visa.com.br
- www.americanexpress.com
- www.americanexpress.com.br
- www.bancobrasil.com.br
- www.bancodobrasil.com.br
- www.bancoreal.com.br
- www.banese.b.br
- www.banese.com.br
- www.bb.com
- www.bb.com.br
- www.bradesco.com
- www.bradesco.com.br
- www.bradesconetempresa.com.br
- www.bradescopessoajuridica.com.br
- www.bradescoprime.com.br
- www.carcheck.com.br
- www.cetelem.com.br
- www.checktudo.com
- www.checktudo.com.br
- www.cielo.com.br
- www.citibank.com.br
- www.credicard.com.br
- www.equifax.com.br
- www.gmail.com
- www.gmail.com.br
- www.hipercard.com.br
- www.hotmail.com
- www.hotmail.com.br
- www.hsbc.com
- www.hsbc.com.br
- www.itau.com.br
- www.itaupersonnalite.com.br
- www.itauprivatebank.com.br
- www.itauuniclass.com
- www.itauuniclass.com.br
- www.mastecard.com.br
- www.paypal.com
- www.paypal.com.br
- www.real.com.br
- www.santander.com.br
- www.santanderbanespa.com.br
- www.santanderempresarial.com.br
- www.serasa.com.br
- www.serasaexperian.com.br
- www.sicredi.com.br
- www.tam.com.br
- www.visa.com.br
In the wild, we have seen the following URLs has been used by this trojan as proxy servers:
- cmd.linetimex.org:80
- driver.linetimex.org:80
- psaux.letongos.org:80
Analysis by Wei Li
Last update 18 May 2012