Po uruchomieniu pliku zawierającego PWSteal.Banpaes.B, trojan kopiuje się do folderu Windows (lub Winnt - w zależności od systemu operacyjnego) - zapisuje się w nim jako: Wmsys32.exe, Syshook.dll oraz Syskeybrd.dll. PWSteal.Banpaes.B zmodyfikuje również Rejestr - tak, by mógł uaktywniać się przy każdym starcie systemu Windows.

Trojan przez większość czasu nie podejmuje żadnych działań - uaktywnia się tylko wtedy, gdy użytkownik wpisze określony ciąg znaków (m.in. Internet Banking CAIXA, Unibanco, Real Internet Banking, Credicard, MasterCard czy Citibank). W takiej sytuacji PWSteal.Banpaes.B zaczyna zapisywać do pliku wszystkie znaki wprowadzone za pomocą klawiatury - może w ten sposób przechwycić m.in. numery kont oraz informacje niezbędne do zalogowania się do e-banku (nazwę użytkownika oraz hasło).

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Aby usunąć trojana, należy sprawdzić system przy pomocy programu antywirusowego (koniecznie uaktualnionego) i skasować wszystkie wykryte przez aplikację kopie PWSteal.Banpaes.B.