Minął już prawie rok od wykrycia zagrożenia o nazwie VBKlip, które za pomocą schowka podmieniało numery kont bankowych. Od tego czasu szkodnik parę razy ewoluował, m.in. zaczął wykorzystywać serwery C&C i zyskał funkcjonalność keyloggera. Najnowsza wersja, którą nazwano Banatrix, zaskoczyła nawet ekspertów z CERT Polska.

Zagrożenie instaluje się w systemie Windows jako zadanie okresowe i potrzebuje do działania pliku .windows.sys, który jest zaszyfrowaną biblioteką DLL i odpowiada za komunikację sieciową programu. Sama metoda działania jest wyjątkowo prosta i jednocześnie innowacyjna. Szkodnik sprawdza uruchomione procesy w poszukiwaniu jednego z poniższej listy:

• chrome.exe
• iexplore.exe
• IEXPLORE.EXE
• firefox.exe
• opera.exe

Jeśli znajdzie taki proces, przeszukuje jego pamięć pod kątem 26-cyfrowych ciągów (zapisanych ze spacjami bądź bez). Jeśli znajdzie taki ciąg, to podmienia go na inny, pobrany z serwera C&C. Jak to wygląda, możecie zobaczyć na poniższym filmie:

- Co jest bardziej niepokojące to fakt, że przy odpowiednim skoordynowaniu czasów możliwe jest, że numer konta zostanie podmieniony dopiero w wysłanym żądaniu POST, co może spowodować, że użytkownik się nawet nie zorientuje, że numer konta został zmieniony - piszą eksperci z CERT Polska, którzy przygotowali specjalny test pozwalający sprawdzić, czy nie jesteśmy zainfekowani (zob. VBKlip 2.0: bez schowka, za to z efektami specjalnymi).