Nume:TR/Spy.Agent.gct
Descoperit pe data de:17/06/2008
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~4.143.000 Bytes
Versiune IVDF:7.00.04.210 - Dienstag, 17. Juni 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Infostealer
   •  Kaspersky: Trojan-Spy.Win32.Banker.oyi
   •  TrendMicro: TROJ_BANKER.NWL
   •  F-Secure: Trojan-Spy.Win32.Banker.oyi
   •  Panda: Trj/Banker.FWD
   •  Grisoft: PSW.Banker4.AHOP
   •  Eset: probably a variant of Win32/Spy.Banker trojan


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\Internet_Explorer.exe



Este creat fisierul:

– C:\001.tmp Informatii obtinute despre sistem.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Internet_Explorer.exe="%SYSDIR%\Internet_Explorer.exe"



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\FkuCMxHi]
   • htIRtBqg=%valori hex%

 Backdoor Servere contactate:
Urmatoarele:
   • http://www.nutricionchaves.com.ar/**********search/~/_.php
   • http://www.radiomarcatenerife.com/**********/Messages/lang/eng/region.php

Astfel se pot transmite informatii. Aceasta se face prin metoda HTTP POST, folosind un script PHP.


Trimte informatii despre:
    • Numele sistemului
    • Adresa IP
    • adresa MAC
    • Informatiile colectate, descrise in sectiunea
    • Ora sistemului
    • adresele vizitate

 Furt de informatii – O rutina de logare este pornita dupa ce unul din urmatoarele site-uri este vizitat:
   • http://www.bb.com.br
   • http://www.unibanco.com
   • http://www.itau.com.br
   • http://www.bradesco.com.br
   • http://www.santander.com.br

– Face captura la:
    • Informatii de logare

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Thomas Wegele am Mittwoch, 6. August 2008
Die Beschreibung wurde geändert von Thomas Wegele am Mittwoch, 6. August 2008

zurück . . . .