Nume:TR/Dldr.Banker.GA.1
Descoperit pe data de:25/07/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:42.496 Bytes
MD5:06bf129bba13d220406a6ce5739d63a1
Versiune VDF:6.35.01.000
Versiune IVDF:6.35.01.000

 General Alias:
   •  Symantec: Infostealer.Snifula
   •  Kaspersky: Trojan-Spy.Win32.Small.gf
   •  Sophos: Troj/FireSpy-A


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows 2000
   • Windows XP


Efecte secundare:
   • Creeaza fisiere
   • Creeaza un fisier malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\138762763.exe



O sectiune este adaugata fisierului.
– Catre: %APPDATA%\Mozilla\Firefox\Profiles\%sir de 8 caractere aleatoare%.default\extensions.ini Cu urmatorul continut:
   • [ExtensionDirs]
     Extension0=%APPDATA%\Mozilla\Firefox\Profiles\5yxkpuhr.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\install.rdf




Sunt create fisierele:

– %PROGRAM FILES%\Mozilla Firefox\Components\AppInterConn.xpt
– %PROGRAM FILES%\Mozilla Firefox\Components\AppInterConn.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Agent.SN.4

– %APPDATA%\Mozilla\Firefox\Profiles\%sir de 8 caractere aleatoare%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\install.rdf
– %APPDATA%\Mozilla\Firefox\Profiles\%sir de 8 caractere aleatoare%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\chrome.manifest
– %APPDATA%\Mozilla\Firefox\Profiles\%sir de 8 caractere aleatoare%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\chrome\numberedlinks.jar
– %APPDATA%\Mozilla\Firefox\Profiles\%sir de 8 caractere aleatoare%.default\chrome\overlayinfo\browser\content\overlays.rdf
– %APPDATA%\Mozilla\Firefox\Profiles\%sir de 8 caractere aleatoare%.default\chrome\chrome.rdf

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "stup"="%SYSDIR%\138762763.exe"



Se adauga in registrii sistemului:

– HKCU\Software\keys
   • "k2"=%numar hexazecimal%
   • "k1"=%numar hexazecimal%

 Backdoor Servere contactate:
Urmatorul:
   • 81.95.147.107/cgi-bin/**********

Aceasta se face printr-o interogare HTTP GET intr-un script CGI.


Trimte informatii despre:
    • Informatiile colectate, descrise in sectiunea

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

– O rutina de logare este pornita dupa ce un site este vizitat:
   • %orice site care contine un formular de autentificare%

– Face captura la:
    • Informatii de logare

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • kjhskdhkjshfd_Mutex

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Die Beschreibung wurde erstellt von Bogdan Iliuta am Freitag, 28. Juli 2006
Die Beschreibung wurde geändert von Bogdan Iliuta am Montag, 31. Juli 2006

zurück . . . .