Name:TR/Dldr.Banker.OW.2
Entdeckt am:14/07/2005
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:1.384.960 Bytes
MD5 Prüfsumme:341acf27fee0261ffd0d722eb4bfbd46
VDF Version:6.31.0.202

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: PWS-Banker.gen.f
   •  Kaspersky: Trojan-Spy.Win32.Banbra.cc
   •  VirusBuster: TrojanSpy.Banbra.CI!AU


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Zeichnet Tastatureingaben auf
   • Stiehlt Informationen

 Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Der Absender der Email ist folgender:
   • cimino2005@**********.com.br

 Diebstahl Es wird versucht folgende Information zu klauen:

– Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • http://www.bancodobrasil.com.br
   • http://www.bancobrasil.com.br
   • http://www.bb.com.br
   • http://www.bradesco.com.br
   • http://www.caixa.gov.br
   • http://www.caixaeconomica.com.br
   • Http://www.caixaeconomicafederal.com.br
   • http://www.caixaeconomicafederal.gov.br
   • http://www.cef.com.br
   • http://www.cef.gov.br
   • http://www.itau.com.br
   • http://www.serasa.com.br
   • http://www.unibanco.com.br
   • htps://internetcaixa.caixa.gov.br

– Aufgezeichnet wird:
    • Anmeldeinformation

–Formularfenster werden angezeigt. Diese sehen wie folgt aus:





 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Sergiu Oprea am Freitag, 12. August 2005
Die Beschreibung wurde geändert von Sergiu Oprea am Dienstag, 30. August 2005

zurück . . . .