Name:TR/Spy.Banker.bpk
Entdeckt am:19/07/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:825.912 Bytes
MD5 Prüfsumme:b6d73ad77f9c87df6853e121cfd4c98c
VDF Version:6.35.00.184
IVDF Version:6.35.00.224

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: Infostealer.Bancos!gen
   •  Mcafee: PWS-Banker.gen.g
   •  Kaspersky: Trojan-Spy.Win32.Banker.ark
   •  TrendMicro: TSPY_BANKER.AFK
   •  Sophos: Troj/Bnkmr-Fam
   •  Bitdefender: Trojan.Spy.Banker.WVC


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %ALLUSERSPROFILE%\start menu\programs\startup\amsn.exe

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCR\Software\Microsoft\Windows\CurrentVersion\Run]
   • "amsn"="%WINDIR%\Config\amsn.exe"

 Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.
Der Absender der Email ist einer der folgenden:
   • INFECTADO
   • CAIXAECONOMICA
   • BANCODOBRASIL
   • UNIBANCO
   • BANESPA


An:
Der Empfänger der Email ist folgender:
   • gsmtp.smtp@gmail.com


Betreff:
Eine der folgenden:
   • %Name des Computers%
   • CHEGOU C/C BUFUNFA %Name des Computers%



Body:
Manchmal beginnt er mit einem der folgenden:

   • [Infectado OnLine]..:
     Maquina.............: %Name des Computers%
     IP..................: %aktuelle IP Adresse%
     Data................: %aktuelles Datum%
     Hora................: %aktuelle Stunde%
     Versão do Windows...: %Windows version%
     |'=========SOURCE BY ROJAO===========
     
     

   • Demonio FEDERAL
     !
     [Caixa Tip].............:
     [Caixa Agê].............:
     [Caixa Con].............:
     [Caixa SeNet]...........:
     [Caixa AssElet].........:
     !
     !==========SOURCE BY ROJAO=============

   • Unibanco nem parece Banco :D
     [Con-Dig]......:
     [SeCont].......:
     [AssElet]......:
     [NascimE]......:
     !=========SOURCE BY ROJAO==========

   • BANESPA
     [Cont]:.........:
     [Nome Acesso]:..:
     [Sen]:..........:
     [Ass E]:........:
     ==============SOURCE BY ROJAO============



Die Email könnte wie eine der folgenden aussehen.



 Versand MX Server:
Es besitzt die Fähigkeit folgenden MX Server zu kontaktieren:
   • gsmtp185.google.com

 Diebstahl Es wird versucht folgende Information zu klauen:

– Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • http://www.caixa.gov.br/_redirect/links/r_internetcaixa.asp
   • http://www.bancodobrasil.com.br/appbb/portal/index.jsp
   • http://www.santanderbanespa.com.br/portal/gsb/script/templates/GCMRequest.do?page=50

– Aufgezeichnet wird:
    • Anmeldeinformation

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • fataL MuTexXx

Die Beschreibung wurde erstellt von Gabriel Mustata am Dienstag, 3. Oktober 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Dienstag, 24. Oktober 2006

zurück . . . .