Name:TR/Spy.Banke.any.97
Entdeckt am:25/07/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:298.724 Bytes
MD5 Prüfsumme:630E56d0cfff769f886dac4d8da4c10E
VDF Version:6.35.01.00 - Dienstag, 25. Juli 2006
IVDF Version:6.35.01.00 - Dienstag, 25. Juli 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Alias:
   •  Bitdefender: Trojan.Spy.Delf.KG


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen

 Registry – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Msn Messenger"="%SYSDIR%\msnmgr.scr"



Folgender Registryschlüssel wird hinzugefügt:

– HKCU\Msn Messenger

 Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Der Absender der Email ist folgender:
   • "Senhas - %Name des Computers%" <chegoubom@terra.com.mx>


An:
– Die folgende Emailadresse:
   • teste005@gmail.com


Betreff:
Folgende:
   • Msn Atualizado 12/07/06



Body:

   • Usuario Msn: %gestohlene Infromation%
     Pass : %gestohlene Infromation%
     .



Die Email sieht wie folgt aus:


 Versand MX Server:
Es besitzt die Fähigkeit folgenden MX Server zu kontaktieren:
   • smtp.terra.com.mx

 Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.


Exploit:
Folgende Sicherheitslücke wird ausgenutzt:
– MS04-007 (ASN.1 Vulnerability)

 Diebstahl Es wird versucht folgende Information zu klauen:

– Das Passwort des Programmes:
   • MSN Messenger

–Ein Formularfenster wird angezeigt. Es sieht wie folgt aus:


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Marius T. Nicolae am Mittwoch, 20. September 2006
Die Beschreibung wurde geändert von Marius T. Nicolae am Mittwoch, 20. September 2006

zurück . . . .