Vollständige Virenbeschreibung

Name:	TR/Spy.Banke.any.89
Entdeckt am:	12/07/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	822.904 Bytes
MD5 Prüfsumme:	48cbfa5f08bab42cb79bdefc7795ff30
VDF Version:	6.35.00.154
IVDF Version:	6.35.00.193 - Donnerstag, 20. Juli 2006

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Spy.Win32.Banker.ark
   • Sophos: Troj/Bnkmr-Fam
   • VirusBuster: TrojanSpy.Banker.DWK

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %ALLUSERSPROFILE%\start menu\programs\startup\amsn.exe

Registry Folgender Registryschlüssel wird hinzugefügt:

– HKCR\Software\Microsoft\Windows\CurrentVersion\Run
• "amsn"="%WINDIR%\System32%WINDIR%\Config\amsn.exe"

Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:

Design der Emails:
Von: INFECTADO &ltroger.capellari@gmail.com>
An: louco.bank@gmail.com <louco.bank@gmail.com>
Betreff: INFECTADO%Name des Computers%
Body:
   • [Infectado OnLine]..:
     Maquina.............: %Name des Computers%
     IP..................: %aktuelle IP Adresse%
     Data................: %aktuelles Datum%
     Hora................: %aktuelle Stunde%
     Verso do Windows...: %Betriebssystem% (version %Windows version%)
     |'=========SOURCE BY ROJAO===========
     .
Von: BANESPA <BANESPA>
An: bianca3007@gmail.com <bianca3007@gmail.com>
Betreff: CHEGOU C/C %Name des Computers%
Body:
   • '
     [Infectado OnLine]..:
     Maquina.............: %Name des Computers%
     IP..................: %aktuelle IP Adresse%
     Data................: %aktuelles Datum%
     Hora................: %aktuelle Stunde%
     Verso do Windows...: %Betriebssystem% (version %Windows version%)
     |'=========SOURCE BY ROJAO===========
     BANESPA
     !
     ![Ag]:...........%gestohlene Infromation%
     ![Cont]:.........%gestohlene Infromation%
     ![Nome Acesso]:..%gestohlene Infromation%
     ![Sen]:..........%gestohlene Infromation%
     ![Ass E]:........%gestohlene Infromation%
     !
     !-=-=-=-=-=-|_PaPaRaZz0_|-=-=-=-=-=-
Von: UNIBANCO <UNIBANCO>
An: bianca3007@gmail.com <bianca3007@gmail.com>
Betreff: CHEGOU C/C %Name des Computers%
Body:
   • '
     [Infectado OnLine]..:
     Maquina.............: %Name des Computers%
     IP..................: %aktuelle IP Adresse%
     Data................: %aktuelles Datum%
     Hora................: %aktuelle Stunde%
     Versão do Windows...: %Betriebssystem% (version %Windows version%)
     |'=========SOURCE BY ROJAO===========
     Unibanco nem parece Banco :D
     !
     [Agên].........: %gestohlene Infromation%
     [Con-Dig]......: %gestohlene Infromation%
     [SeCont].......: %gestohlene Infromation%
     [AssElet]......: %gestohlene Infromation%
     [NascimE]......: %gestohlene Infromation%

     !=========SOURCE BY ROJAO==========

Die Email könnte wie eine der folgenden aussehen.

Versand MX Server:
Es besitzt die Fähigkeit folgenden MX Server zu kontaktieren:
• gsmtp185.google.com

Diebstahl – Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • http://www.banespa.com.br/
   • http://www.unibanco.com.br/

– Aufgezeichnet wird:
    • Anmeldeinformation

–Formularfenster werden angezeigt. Diese sehen wie folgt aus:

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• fataL MuTexXx

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Ionut Slaveanu am Mittwoch, 30. August 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Donnerstag, 14. September 2006

zurück . . . .