Nume:TR/Spy.Banker.bpk
Descoperit pe data de:19/07/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:825.912 Bytes
MD5:b6d73ad77f9c87df6853e121cfd4c98c
Versiune VDF:6.35.00.184
Versiune IVDF:6.35.00.224

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Infostealer.Bancos!gen
   •  Mcafee: PWS-Banker.gen.g
   •  Kaspersky: Trojan-Spy.Win32.Banker.ark
   •  TrendMicro: TSPY_BANKER.AFK
   •  Sophos: Troj/Bnkmr-Fam
   •  Bitdefender: Trojan.Spy.Banker.WVC


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %ALLUSERSPROFILE%\start menu\programs\startup\amsn.exe

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCR\Software\Microsoft\Windows\CurrentVersion\Run]
   • "amsn"="%WINDIR%\Config\amsn.exe"

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Expeditorul email-ului este unul din urmatorii:
   • INFECTADO
   • CAIXAECONOMICA
   • BANCODOBRASIL
   • UNIBANCO
   • BANESPA


Catre:
Destinatarul mesajului este:
   • gsmtp.smtp@gmail.com


Subiect:
Unul din urmatoarele:
   • %numele computerului%
   • CHEGOU C/C BUFUNFA %numele computerului%



Corpul email-ului:
Uneori incepe cu:

   • [Infectado OnLine]..:
     Maquina.............: %numele computerului%
     IP..................: %IP-ul curent%
     Data................: %data curenta%
     Hora................: %ora curenta%
     Versão do Windows...: %versiune Windows%
     |'=========SOURCE BY ROJAO===========
     
     

   • Demonio FEDERAL
     !
     [Caixa Tip].............:
     [Caixa Agê].............:
     [Caixa Con].............:
     [Caixa SeNet]...........:
     [Caixa AssElet].........:
     !
     !==========SOURCE BY ROJAO=============

   • Unibanco nem parece Banco :D
     [Con-Dig]......:
     [SeCont].......:
     [AssElet]......:
     [NascimE]......:
     !=========SOURCE BY ROJAO==========

   • BANESPA
     [Cont]:.........:
     [Nome Acesso]:..:
     [Sen]:..........:
     [Ass E]:........:
     ==============SOURCE BY ROJAO============



Email-ul poate arata ca unul din urmatoarele:



 Email Server MX:
Se poate conecta la serverul MX:
   • gsmtp185.google.com

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– O rutina de logare este pornita dupa ce unul din urmatoarele site-uri este vizitat:
   • http://www.caixa.gov.br/_redirect/links/r_internetcaixa.asp
   • http://www.bancodobrasil.com.br/appbb/portal/index.jsp
   • http://www.santanderbanespa.com.br/portal/gsb/script/templates/GCMRequest.do?page=50

– Face captura la:
    • Informatii de logare

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • fataL MuTexXx

Die Beschreibung wurde erstellt von Gabriel Mustata am Dienstag, 3. Oktober 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Dienstag, 24. Oktober 2006

zurück . . . .