Nume:TR/Spy.Banker.mxp
Descoperit pe data de:26/11/2008
Tip:Troian
Subtip:Spy
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~ 3.061.120 Bytes
Versiune IVDF:7.01.00.138 - Mittwoch, 26. November 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Banker.Win32.Banker.aaus
   •  F-Secure: Trojan-Banker.Win32.Banker.aaus
   •  Sophos: Mal/DelpBanc-A
   •  Grisoft: PSW.Banker5.AEW
   •  VirusBuster: TrojanSpy.Banker.BISF
   •  Eset: Win32/Spy.Banker.PVH trojan
   •  Bitdefender: Packer.RLPack.D


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %ALLUSERSPROFILE%\start menu\programs\startup\Java(TM).exe



Este creat fisierul:

– C:\start.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Java(TM)="C:\Arquivos de programas\Java(TM).exe"

 Terminarea proceselor  Urmatorul serviciu este dezactivat:
   • GbpSv

 Backdoor Servere contactate:

   • http://contagemdeamigos.iespana.es/**********/contar.php

Astfel se pot transmite informatii. Se foloseste metoda HTTP GET si POST printr-un script PHP.


Trimte informatii despre:
    • Informatiile colectate, descrise in sectiunea

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– O rutina de logare este pornita dupa ce unul din urmatoarele site-uri este vizitat:
   • https://www.bradesco.com.br
   • https://netbanking2.banespa.com.br

– Face captura la:
    • Informatii de logare

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • RLPack

Die Beschreibung wurde erstellt von Thomas Wegele am Dienstag, 16. Dezember 2008
Die Beschreibung wurde geändert von Thomas Wegele am Dienstag, 16. Dezember 2008

zurück . . . .