Wie die Sicherheitsforscher von F5 Networks herausfanden klinkt sich der Trojaner direkt in den Browser ein und tritt damit in die Fußstapfen mächtiger Malware wie Zeus oder Neverquest. Die Infektion beginnt mit einem Trojaner-Downloader, der zwei Dateien herunterlädt: Die ausführbare Datei wmc.exe und die Bibliotheksdatei Windows.sys, berichtete security-insider.de.
Nachdem die infizierte Dynamic Link Library (DLL) Windows.sys in den Arbeitsspeicher geladen wurde, versucht der Trojaner, eine Kommunikation mit verschiedenen Domänen aufzubauen. Die Malware lädt anschließend alle Schadkomponenten in Form von spezialisierten Modulen herunter. Der Download der jeweils nächsten Komponente erfolgt auf Basis der Command-and-Control-Server-Kommunikation erfolgt. Laut F5 ist es extrem schwierig, alle involvierten Komponenten zu ermitteln und die Attacke als Ganzes zu analysieren. Die IBAN wird in der neuen Variante direkt im Browserprozess ausgetauscht.
Nachdem die infizierte Dynamic Link Library (DLL) Windows.sys in den Arbeitsspeicher geladen wurde, versucht der Trojaner, eine Kommunikation mit verschiedenen Domänen aufzubauen. Die Malware lädt anschließend alle Schadkomponenten in Form von spezialisierten Modulen herunter. Der Download der jeweils nächsten Komponente erfolgt auf Basis der Command-and-Control-Server-Kommunikation erfolgt. Laut F5 ist es extrem schwierig, alle involvierten Komponenten zu ermitteln und die Attacke als Ganzes zu analysieren. Die IBAN wird in der neuen Variante direkt im Browserprozess ausgetauscht.