Troj/Banker-AEV

Please follow the instructions for removing Trojans.

Troj/Banker-AEV is a Trojan for the Windows platform.

When Troj/Banker-AEV is installed the following files are created:

<Windows folder>\Web\Data\Inetlog01.TXT
<Windows folder>\Web\Data\Inetlog02.TXT
<Windows folder>\Web\MINUTAC0FB7D08SEQ0.BCK
<Windows folder>\Web\inetcnfg03.txt

These files may be safely deleted.

The following registry entry is created to run Troj/Banker-AEV on startup:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Devicewin
<pathname of the Trojan executable>

The Trojan gathers system information and monitors browser sessions for traffic to certain banking web sites. Troj/Banker-AEV attempts to capture login details typed into web forms. Harvested information is sent to a remote site via FTP.

Troj/Banker-AEV attempts to steal login details for the following banking domains:

bankline.itau.com.br
banklineplus.itau.com.br
empresarial.unibanco.com.br
ibpf.unibanco.com.br
internetcaixa.caixa.gov.br
itaubankline.com.br
itaubankline.itau.com.br
itaubanklineplus.itau.com.br
netbanking2.banespa.com.br
ww7.banrisul.com.br
www.alfanet.com.br
www.bancobonsucesso.com.br
www.bancobonsucesso.com.br
www.bancopine.com.br
www.banese.com.br
www.banespa.com.br
www.banestes.com.br
www.bankboston.com.br
www.bankboston.com.br
www.banrisul.com.br
www.banrisul.com.br
www.basa.com.br
www.bradesco.com.br
www.caixa.gov.br
www.cbolweb.com
www.cbolweb.com
www.edivan.com.br
www.febraban.org.br
www.febraban.org.br
www.hsbc.com.br
www.itau.com.br
www.itaupersonnalite.com.br
www.latam.citibank.com
www.latam.citibank.com
www.nossacaixa.com.br
www.rural.com.br
www.safranet.com.br
www.santander.com.br
www.santandernet.com.br
www.unibanco.com.br
www2.rural.com.br
wwws.alfanet.com.br
wwws.bancoamazonia.com.br
wwws.banese.com.br
wwws.banestes.com.br
wwws.nossacaixa.com.br
wwws.safra.com.br
wwws1.hsbc.com.br
wwws2.hsbc.com.br
wwws3.hsbc.com.br
wwws4.hsbc.com.br
wwws5.hsbc.com.br
wwws6.hsbc.com.br
wwwss.bradesco.com.br