Vollständige Virenbeschreibung

Name:	TR/Dldr.Delf.tp.1.A
Entdeckt am:	15/09/2005
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	385.536 Bytes
MD5 Prüfsumme:	d905b68eea607dfd2fdc6bc21278abfd
VDF Version:	6.31.1.188

Allgemein Aliases:
   • Mcafee: PWS-Banker.gen.i
   • Kaspersky: Trojan-Spy.Win32.Banker.acb

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Verfügt über eigene Email Engine
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Folgende Dateien werden gelöscht:
   • %temporary internet files%\*.*
   • %cookies%\*.*

Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %WINDIR%\Filespro\Tales\Local\barra2-PROGRESS.bmp;
      %WINDIR%\Filespro\Tales\Local\barra_brad.bmp;
      %WINDIR%\Filespro\Tales\Local\barra_progress.bmp;
      %WINDIR%\Filespro\Tales\Local\bt_confirma.bmp;
      %WINDIR%\Filespro\Tales\Local\bt_retornaCX.bmp;
      %WINDIR%\Filespro\Tales\Local\cadeado.bmp;
      %WINDIR%\Filespro\Tales\Local\campo_CX.bmp;
      %WINDIR%\Filespro\Tales\Local\caps.bmp;
      %WINDIR%\Filespro\Tales\Local\err_bb.bmp;
      %WINDIR%\Filespro\Tales\Local\logoPF.bmp;
      %WINDIR%\Filespro\Tales\Local\logo_BB.bmp;
      %WINDIR%\Filespro\Tales\Local\senha_AMARELA.bmp;
      %WINDIR%\Filespro\Tales\Local\senha_GER.bmp;
      %WINDIR%\Filespro\Tales\Local\teclado_CX.bmp;
      %WINDIR%\Filespro\Tales\Local\tela2_BB.bmp;
      %WINDIR%\Filespro\Tales\Local\tela_Bradesco_senha.bmp;
      %WINDIR%\Filespro\Tales\Local\tela_brad_sencartao.bmp;
      %WINDIR%\Filespro\Tales\Local\tela_caixa_assinatura.bmp;
      %WINDIR%\Filespro\Tales\Local\topo2.bmp;
      %WINDIR%\Filespro\Tales\Local\TV_PJ.bmp; %WINDIR%\winnavps\bb\1234.jar;
      %WINDIR%\winnavps\bb\banner012.jpg; %WINDIR%\winnavps\bb\banner03.gif;
      %WINDIR%\winnavps\bb\banner13.gif; %WINDIR%\winnavps\bb\barra_ger.jpg;
      %WINDIR%\winnavps\bb\barsep.gif; %WINDIR%\winnavps\bb\certificacao.gif;
      %WINDIR%\winnavps\bb\cópia de gerenciador.html;
      %WINDIR%\winnavps\bb\do.gif; %WINDIR%\winnavps\bb\erro_bb.html;
      %WINDIR%\winnavps\bb\erro_gerenciador.html;
      %WINDIR%\winnavps\bb\gerenciador.html;
      %WINDIR%\winnavps\bb\gerenciador2.html; %WINDIR%\winnavps\bb\imagem01.gif;
      %WINDIR%\winnavps\bb\imagem02.gif; %WINDIR%\winnavps\bb\imagem06.gif;
      %WINDIR%\winnavps\bb\imagem07.gif; %WINDIR%\winnavps\bb\imagem10.gif;
      %WINDIR%\winnavps\bb\imagem11.gif; %WINDIR%\winnavps\bb\imagem19.gif;
      %WINDIR%\winnavps\bb\imagem20.gif; %WINDIR%\winnavps\bb\imagem21.gif;
      %WINDIR%\winnavps\bb\imgentra.gif; %WINDIR%\winnavps\bb\imglimpa.gif;
      %WINDIR%\winnavps\bb\inicio.gif; %WINDIR%\winnavps\bb\lbg.gif;
      %WINDIR%\winnavps\bb\linha.gif; %WINDIR%\winnavps\bb\msg_1.gif;
      %WINDIR%\winnavps\bb\principal.html; %WINDIR%\winnavps\bb\prod3.gif;
      %WINDIR%\winnavps\bb\pt.gif; %WINDIR%\winnavps\bb\pt10.gif;
      %WINDIR%\winnavps\bb\pt11.gif; %WINDIR%\winnavps\bb\pt12.gif;
      %WINDIR%\winnavps\bb\pt13.gif; %WINDIR%\winnavps\bb\ptc1.gif;
      %WINDIR%\winnavps\bb\ptc2.gif; %WINDIR%\winnavps\bb\ptc3.gif;
      %WINDIR%\winnavps\bb\ptc4.gif; %WINDIR%\winnavps\bb\ptt.gif;
      %WINDIR%\winnavps\bb\rdc.gif; %WINDIR%\winnavps\bb\rdl.gif;
      %WINDIR%\winnavps\bb\sua.jpg; %WINDIR%\winnavps\bb\tcvirtu.gif;
      %WINDIR%\winnavps\bb\tracoh.gif; %WINDIR%\winnavps\bb\tracoh2.gif;
      %WINDIR%\winnavps\bb\tracoh_1.gif; %WINDIR%\winnavps\bb\tracoh_1_2.gif;
      %WINDIR%\winnavps\bb\tracoh_1_3.gif; %WINDIR%\winnavps\bb\tracov.gif;
      %WINDIR%\winnavps\bb\tracov2.gif; %WINDIR%\winnavps\bb\tracov3.gif;
      %WINDIR%\winnavps\bb\tracov_1.gif; %WINDIR%\winnavps\bb\tracov_1_2.gif;
      %Verzeichnis in dem die Malware ausgeführt wurde%\ibb011.cfg;
      %Verzeichnis in dem die Malware ausgeführt wurde%\tsuname2.txt;
      %Verzeichnis in dem die Malware ausgeführt wurde%\brad11.cfg;
      %Verzeichnis in dem die Malware ausgeführt wurde%\tsuname4.txt

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/barra2-PROGRESS.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\barra2-PROGRESS.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/barra_brad.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\barra_brad.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/barra_progress.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\barra_progress.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/bt_confirma.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\bt_confirma.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/bt_retornaCX.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\bt_retornaCX.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/cadeado.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\cadeado.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/campo_CX.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\campo_CX.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/caps.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\caps.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/err_bb.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\err_bb.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/logoPF.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\logoPF.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/logo_BB.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\logo_BB.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/senha_AMARELA.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\senha_AMARELA.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/senha_GER.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\senha_GER.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/teclado_CX.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\teclado_CX.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/tela2_BB.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\tela2_BB.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/tela_Bradesco_senha.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\tela_Bradesco_senha.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/tela_brad_sencartao.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\tela_brad_sencartao.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/tela_caixa_assinatura.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\tela_caixa_assinatura.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/topo2.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\topo2.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/TV_PJ.html
Diese wird lokal gespeichert unter: %WINDIR%\Filespro\Tales\Local\TV_PJ.zip

– Die URL ist folgende:
   • http://**********.vilabol.uol.com.br/qqq.html
Diese wird lokal gespeichert unter: %WINDIR%\winnavps\bbb.bck

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "irwftp"="%SYSDIR%\swshost.exe"

Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:

Design der Emails:

Von: "%Name des Computers%" <%Name des Computers%edilene.bastos@isbt.com.br>
An: edilene.bastos@isbt.com.br
Betreff: Confirmei-ROYALTIES_BLACK
Body:
   • %aktuelles Datum% - %aktuelle Stunde%
      %Name des Computers%

Von: "%Name des Computers%" <%Name des Computers%astra22gsi@isbt.com.br>
An: astra22gsi@isbt.com.br
Betreff: Confirmei-ROYALTIES_BLACK
Body:
   • %aktuelles Datum% - %aktuelle Stunde%
      %Name des Computers%

Von: "%Name des Computers%" <%Name des Computers%edilene.bastos@isbt.com.br>
An: edilene.bastos@isbt.com.br
Betreff: Skol_p-ROYALTIES_BLACK
Body:
   • %aktuelles Datum% - %aktuelle Stunde%
      %Name des Computers%
Dateianhang:
   • tsuname4.txt

Von: "%Name des Computers%" <%Name des Computers%astra22gsi@isbt.com.br>
An: astra22gsi@isbt.com.br
Betreff: Skol_p-ROYALTIES_BLACK
Body:
   • %aktuelles Datum% - %aktuelle Stunde%
      %Name des Computers%
Dateianhang:
   • tsuname4.txt

Von: "%Name des Computers%" <%Name des Computers%edilene.bastos@isbt.com.br>
An: edilene.bastos@isbt.com.br
Betreff: Coca-cola-ROYALTIES_BLACK
Body:
   • %aktuelles Datum% - %aktuelle Stunde%
      %Name des Computers%
Dateianhang:
   • tsuname2.txt

Von: "%Name des Computers%" <%Name des Computers%astra22gsi@isbt.com.br>
An: astra22gsi@isbt.com.br
Betreff: Coca-cola-ROYALTIES_BLACK
Body:
   • %aktuelles Datum% - %aktuelle Stunde%
      %Name des Computers%
Dateianhang:
   • tsuname2.txt

Die Email sieht wie folgt aus:

Versand MX Server:
Es besitzt die Fähigkeit folgenden MX Server zu kontaktieren:
• smtp.isbt.com.br

Diebstahl – Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
   • https://www2.bancobrasil.com.br/aapf/aai/login.pbk

– Nachdem eine Webseite besucht wurde dessen URL folgenden Substing enthält, wird eine Protokollfunktion gestartet:
   • http://www.bradesco.com.br

– Aufgezeichnet wird:
    • Tastaturanschläge
    • Anmeldeinformation

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• ASPack 2.12

Die Beschreibung wurde erstellt von Iulia Diaconescu am Freitag, 16. September 2005
Die Beschreibung wurde geändert von Iulia Diaconescu am Dienstag, 20. September 2005

zurück . . . .

PC Schutz

Gratis-Produkte

Beliebteste Produkte

Alle Produkte

Bundle-Lösungen

Arbeitsplatzrechner

Server

Bundle-Lösungen

Mail Gateways

Web Gateways

Kollaborationsplattformen

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools