Vollständige Virenbeschreibung

Name:	TR/Spy.Banker.AATZ.1
Entdeckt am:	27/05/2008
Art:	Trojan
Nebenart:	Spy
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	1.014.272 Bytes
MD5 Prüfsumme:	67906bbf203a6cd8b54939a9fd0f4b7c
IVDF Version:	7.00.04.98 - Dienstag, 27. Mai 2008

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Infostealer.Bancos
   • Kaspersky: Trojan-Spy.Win32.Banker.nml
   • F-Secure: Trojan-Spy.Win32.Banker.nml
   • Sophos: Troj/Dloadr-BLX
   • Panda: Trj/Banker.LAQ
   • Grisoft: PSW.Banker4.AGMP
   • VirusBuster: TrojanSpy.Banker.BCIN
   • Eset: Win32/Spy.Banker.OVQ trojan
   • Bitdefender: Trojan.Spy.Banker.AATZ

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen

Registry Es wird ein browser helper object (BHO) registriert indem folgender key hinzugefügt wird:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}]

Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\CLSID\{%CLSID%}]
   • @="NETWORK SERVICE"

– [HKCR\CLSID\{%CLSID%}\InprocServer32]
   • @="%Verzeichnis in dem die Malware ausgeführt wurde%\%Malware DLL%"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{%CLSID%}\ProgID]
   • @="%ausgeführte Datei%.Microsoft Update Service"

– [HKCR\%ausgeführte Datei%.Microsoft Update Service]
   • @="NETWORK SERVICE"

– [HKCR\%ausgeführte Datei%.Microsoft Update Service\Clsid]
   • @="{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}"

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• Themida

Die Beschreibung wurde erstellt von Thomas Wegele am Mittwoch, 9. Juli 2008
Die Beschreibung wurde geändert von Thomas Wegele am Freitag, 11. Juli 2008

zurück . . . .