Name:TR/Spy.Banker.ccj
Entdeckt am:05/10/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:970.752 Bytes
MD5 Prüfsumme:7e3a0361cdfe790d15ee8a25c16a0c28
VDF Version:6.36.00.79
IVDF Version:6.36.00.95 - Donnerstag, 12. Oktober 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Spy.Win32.Banker.ccj
   •  F-Secure: Trojan-Spy.Win32.Banker.ccj
   •  Sophos: Troj/Bancban-PK
   •  Grisoft: PSW.Banker2.QKO
   •  Eset: Win32/Spy.Banker.AWA
   •  Bitdefender: Trojan.Banker.Delf.DG


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %SYSDIR%\epson.txt

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %SYSDIR%\fotos\foto%Nummer%.jpg




Es versucht folgende Dateien auszuführen:

– Dateiname:
   • %SYSDIR%\netsh.exe
unter Zuhilfenahme folgender Kommandozeilen-Parameter: firewall add allowedprogram %SYSDIR%\epson.scr Ftp..


– Dateiname:
   • %SYSDIR%\netsh.exe
unter Zuhilfenahme folgender Kommandozeilen-Parameter: firewall add allowedprogram %SYSDIR%\epson.scr smtp..

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Epson"="%SYSDIR%\epson.scr"

 Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Der Absender der Email ist einer der folgenden:
   • bemvindo2006@mail.ru
   • bemvindo2005@mail.ru
   • bemvindo2007@mail.ru


An:
Die Empfänger der Email sind folgende:
   • bemvindo2007@gmail.com
   • bemvindo20066@gmail.com
   • vidanova424@gmail.com


Design der Emails:
Betreff: MAIS UM NO AGUARDO%Name des Computers%
Betreff: Sangue Bom - %Name des Computers%
Body:
   • %Name des Computers%
     %gestohlene Infromation%
Dateianhang:
   • foto%Nummer%.jpg



Die Email könnte wie eine der folgenden aussehen.



 Versand MX Server:
Es besitzt die Fähigkeit folgenden MX Server zu kontaktieren:
   • smtp.mail.ru

 Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter

– Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • http://www.orkut.com
   • http://www.bb.com.br
   • http://www.bradesco.com.br
   • http://www.equifax.com.br
   • http://www.santander.com.br
   • http://santander.com.br/portal/bsb/script/templates/GCMRequest.do?page=1010
   • http://www.banespa.com.br
   • http://www.itau.com.br
   • https://bankline.itau.com.br/GRIPNET/gracgi.EXE
   • https://www2.bancobrasil.com.br/aapf/aai/principal
   • https://internetcaixa.caixa.gov.br/NASApp/SIIBC/login_autentica.processa
   • https://bradesconetempresa.com.br
   • https://www2.bancobrasil.com.br/aapf/aai/login.pbk?textoConteudo=3

– Aufgezeichnet wird:
    • Anmeldeinformation

–Formularfenster werden angezeigt. Diese sehen wie folgt aus:




 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Adriana Popa am Donnerstag, 7. Dezember 2006
Die Beschreibung wurde geändert von Adriana Popa am Freitag, 8. Dezember 2006

zurück . . . .