A Banbra.GQU trójai bizalmas banki adatok után kémkedik, miközben különböző, rejtőzködéshez használatos trükköket vet be annak érdekében, hogy minél tovább tudjon észrevétlen maradni.

A Banbra.GQU trójai azon kártékony programok táborát gyarapítja, amelyek kifejezetten a bizalmas banki adatok megszerzésére specializálódtak. Az új trójai egy már bevált technikát alkalmaz: folyamatosan figyeli a felhasználó webböngészőkben végzett tevékenységét, és amennyiben olyan weboldal letöltését észleli, amely egy számára preferált bankhoz tartozik, akkor aktivizálódik, és elkezdi naplózni a billentyűleütéseket. Az ilyen módon zsákmányolt adatokat időközönként továbbítja a támadók számára.

Az Isidor Biztonsági Központ jelentése szerint a Banbra "GQU" betűjelű variánsa elsősorban brazil bankok weblapjain megadott adatok iránt mutat fokozott érdeklődést, de természetesen mindez nem jelenti azt, hogy egyéb pénzintézetek esetében semmiféle kockázatot nem jelent.

A trójai veszélyes jellemzője, hogy megfelelő védelmi szoftverek nélkül nehéz észrevenni. A fájljait a Windows egyes rendszerállományai után nevezi el, és azokat olyan ikonokkal látja el, amelyek a mappák esetében használatosak.

Amikor a Banbra.GQU trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
Documents and Settings\InstallShield Installation Information\{A5BA14E0-7384-5991B8648CBE70A4}\BOOTCFGX.EXE
Documents and Settings\InstallShield Installation Information\{A5BA14E0-7384-5991B8648CBE70A4}\DCHCP.EXE
Documents and Settings\InstallShield Installation Information\{A5BA14E0-7384-5991B8648CBE70A4}\MSOOBE32.EXE
Documents and Settings\InstallShield Installation Information\{A5BA14E0-7384-5991B8648CBE70A4}\SVCHOSF.EXE
 
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\explorer = C:\Documents and Settings\%username%\InstallShield Installation Information\{A5BA14E0-7384-5991B8648CBE70A4}\bootcfgx.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Gbp Service = C:\Documents and Settings\%username%\InstallShield Installation Information\{A5BA14E0-7384-5991B8648CBE70A4}\dchcp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run msnmsgrs = C:\Documents and Settings\%username%\InstallShield Installation Information\{A5BA14E0-7384-5991B8648CBE70A4}\msoobe32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Persistence ! System = %[...]\%[véletlenszerű fájlnév]%.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SunJavaMdb = C:\Documents and Settings\%username%\InstallShield Installation Information\{A5BA14E0-7384-5991B8648CBE70A4}\svchosf.exe

3. A saját állományait a mappáknál használatos ikonokkal látja el.

4. Megjelenít egy üzenetablakot, amelyben a "PC Tools Tray Application" kifejezés is szerepel.

5. Folyamatosan monitorozza a felhasználó webes tevékenységét, és egyes banki weboldalak esetében bizalmas információkat gyűjt össze.

6. Az összegyűjtött adatokat továbbítja a támadók számára.

A hír megjelenését a biztonságportál támogatta.