TR/Spy.Banker.aca - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Spy.Banker.aca
Entdeckt am:	26/08/2005
Art:	Trojan
Nebenart:	spyware
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	1,249,855 Bytes
MD5 Prüfsumme:	a663d38656dcbfd49a99cd6a997b2eb9
VDF Version:	6.31.1.186

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Alias:
   • Mcafee: PWS-Banker.gen.bb
   • Kaspersky: Trojan-Spy.Win32.Banker.aca
   • Sophos: Troj/Bancban-ES

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\Config\svchost.exe

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "svchost"="c:\windows\\config\\svchost.exe"

Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:

Design der Emails:

Von: Makina:%Name des Computers%
An: bl4d3xcool2@gmail.com
Betreff: %Name des Computers% Infectado
Body:
   • Nome do Computador: %Name des Computers% Infected
     IP: %aktuelle IP Adresse%
     Data: %aktuelles Datum%
     Hora: %aktuelle Zeit%

Von: PC:%Name des Computers%
An: bl4d3xcool2@gmail.com
Betreff: Banrisul
Body:
   • <Kl built in: %aktuelles Datum%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %Name des Computers%
     IP: %aktuelle IP Adresse%
     Data: %aktuelles Datum% Hora: %aktuelle Zeit%
     ------------> Banrisul <--------------
     BANRISUL Agencia=%gestohlene Infromation%
     BANRISUL Conta=%gestohlene Infromation%
     BANRISUL Senha=%gestohlene Infromation%
     BANRISUL Senha Complementar=%gestohlene Infromation%

Von: PC:%Name des Computers%
An: bl4d3xcool2@gmail.com
Betreff: Bradesco
Body:
   • <Kl built in: %aktuelles Datum%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %Name des Computers%
     IP: %aktuelle IP Adresse%
     Data: %aktuelles Datum% Hora: %aktuelle Zeit%
     -------------> Bradesco <--------------
     BRADESCO Agencia :%gestohlene Infromation%
     BRADESCO Conta :%gestohlene Infromation%
     BRADESCO Tipo de conta:%gestohlene Infromation%
     BRADESCO S. 4 digitos:%gestohlene Infromation%
     BRADESCO Resposta secreta:%gestohlene Infromation%
     BRADESCO S. Cartao de Debito:%gestohlene Infromation%
     BRADESCO CPF:%gestohlene Infromation%
     BRADESCO Data de nascimento:%gestohlene Infromation%
     BRADESCO RG:%gestohlene Infromation%

Von: PC:%Name des Computers%
An: bl4d3xcool2@gmail.com
Betreff: Unibanco
Body:
   • <Kl built in: %aktuelles Datum%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %Name des Computers%
     IP: %aktuelle IP Adresse%
     Data: %aktuelles Datum% Hora: %aktuelle Zeit%
     -------------> Unibanco <-------------
     UNIBANCO AG=%gestohlene Infromation%
     UNIBANCO Conta=%gestohlene Infromation%
     UNIBANCO Digito=%gestohlene Infromation%
     UNIBANCO Senha CC=%gestohlene Infromation%
     UNIBANCO Ass. Eletronica=%gestohlene Infromation%

Von: PC:%Name des Computers%
An: bl4d3xcool2@gmail.com
Betreff: Unibanco Empresa
Body:
   • <Kl built in: %aktuelles Datum%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %Name des Computers%
     IP: %aktuelle IP Adresse%
     Data: %aktuelles Datum% Hora: %aktuelle Zeit%
     ----------> Unibanco Empresa <---------
     UNIBANCO Apelido=%gestohlene Infromation%

Von: PC:%Name des Computers%
An: bl4d3xcool2@gmail.com
Betreff: Banco Estadual do Cear
Body:
   • <Kl built in: %aktuelles Datum%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %Name des Computers%
     IP: %aktuelle IP Adresse%
     Data: %aktuelles Datum% Hora: %aktuelle Zeit%
     ------->>> Banco Estadual do Cear <<-------
     BEC Agencia:%gestohlene Infromation%
     BEC Conta:%gestohlene Infromation%
     BEC Digito:%gestohlene Infromation%
     BEC Senha NET:%gestohlene Infromation%
     BEC Resposta:%gestohlene Infromation%

Von: PC:%Name des Computers%
An: bl4d3xcool2@gmail.com
Betreff: Banco de Brasilia
Body:
   • <Kl built in: %aktuelles Datum%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %Name des Computers%
     IP: %aktuelle IP Adresse%
     Data: %aktuelles Datum% Hora: %aktuelle Zeit%
     ----------------> BRB <----------------
     BRB Usuario=%gestohlene Infromation%
     BRB Conta=%gestohlene Infromation%
     BRB Senha=%gestohlene Infromation%
     BRB Senha AE=%gestohlene Infromation%

Von: PC:%Name des Computers%
An: bl4d3xcool2@gmail.com
Betreff: Nossa Caixa
Body:
   • <Kl built in: %aktuelles Datum%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %Name des Computers%
     IP: %aktuelle IP Adresse%
     Data: %aktuelles Datum% Hora: %aktuelle Zeit%
     -----------> Nossa Caixa <-------------
     NOSSACEF Agencia=%gestohlene Infromation%
     NOSSACEF Digito Agencia=%gestohlene Infromation%
     NOSSACEF Conta=%gestohlene Infromation%
     NOSSACEF Digito Conta=%gestohlene Infromation%
     NOSSACEF Ass Eletronica=%gestohlene Infromation%
     NOSSACEF Nome=%gestohlene Infromation%
     NOSSACEF Senha=%gestohlene Infromation%

Von: PC:%Name des Computers%
An: bl4d3xcool2@gmail.com
Betreff: Real
Body:
   • <Kl built in: %aktuelles Datum%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %Name des Computers%
     IP: %aktuelle IP Adresse%
     Data: %aktuelles Datum% Hora: %aktuelle Zeit%
     ---------------> Real <----------------
     REAL Login=%gestohlene Infromation%
     REAL AG=%gestohlene Infromation%
     REAL Conta=%gestohlene Infromation%
     REAL Senha NET=%gestohlene Infromation%
     REAL Senha CC=%gestohlene Infromation%

Von: PC:%Name des Computers%
An: bl4d3xcool2@gmail.com
Betreff: Santander
Body:
   • <Kl built in: %aktuelles Datum%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %Name des Computers%
     IP: %aktuelle IP Adresse%
     Data: %aktuelles Datum% Hora: %aktuelle Zeit%
     ------------> Santander <-------------
     SANTANDER User=%gestohlene Infromation%
     SANTANDER Agencia=%gestohlene Infromation%
     SANTANDER Conta=%gestohlene Infromation%
     SANTANDER 4 digitos=%gestohlene Infromation%
     SANTANDER Ass. Eletronica=%gestohlene Infromation%

Von: PC:%Name des Computers%
An: bl4d3xcool2@gmail.com
Betreff: Banco do Nordeste
Body:
   • <Kl built in: %aktuelles Datum%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %Name des Computers%
     IP: %aktuelle IP Adresse%
     Data: %aktuelles Datum% Hora: %aktuelle Zeit%
     --------> Banco do Nordeste <---------
     NORDESTE Usuario:%gestohlene Infromation%
     NORDESTE Agencia:%gestohlene Infromation%
     NORDESTE Conta:%gestohlene Infromation%
     NORDESTE Digito:%gestohlene Infromation%
     NORDESTE S.Atend:%gestohlene Infromation%
     NORDESTE Cartao:%gestohlene Infromation%

Von: PC:%Name des Computers%
An: bl4d3xcool2@gmail.com
Betreff: Banespa
Body:
   • <Kl built in: %aktuelles Datum%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %Name des Computers%
     IP: %aktuelle IP Adresse%
     Data: %aktuelles Datum% Hora: %aktuelle Zeit%
     -------------> Banespa <--------------
     BANESPA Usuario:%gestohlene Infromation%
     BANESPA Agencia:%gestohlene Infromation%
     BANESPA Conta:%gestohlene Infromation%
     BANESPA Digito:%gestohlene Infromation%
     BANESPA S.Atend:%gestohlene Infromation%
     BANESPA Cartao:%gestohlene Infromation%

Von: PC:%Name des Computers%
An: bl4d3xcool2@gmail.com
Betreff: Banco Rural
Body:
   • <Kl built in: %aktuelles Datum%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %Name des Computers%
     IP: %aktuelle IP Adresse%
     Data: %aktuelles Datum% Hora: %aktuelle Zeit%
     -----------> Banco Rural <------------
     RURAL Usuario:%gestohlene Infromation%
     RURAL Senha:%gestohlene Infromation%
     RURAL Agencia:%gestohlene Infromation%
     RURAL Tipo:%gestohlene Infromation%
     RURAL Conta Corrente:%gestohlene Infromation%
     RURAL Digito:%gestohlene Infromation%

Von: PC:%Name des Computers%
An: bl4d3xcool2@gmail.com
Betreff: Gerenciador Financeiro
Body:
   • <Kl built in: %aktuelles Datum%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %Name des Computers%
     IP: %aktuelle IP Adresse%
     Data: %aktuelles Datum% Hora: %aktuelle Zeit%
     ---------> Gerenciador Financeiro <---------
     GF CHAVE ACESSO:%gestohlene Infromation%
     GF SENHA ACESSO:%gestohlene Infromation%
     GF AGENCIA:%gestohlene Infromation%
     GF CONTA CORRENTE:%gestohlene Infromation%
     GF SENHA 8 DIG:%gestohlene Infromation%
     --------------------------------------------

Von: PC:%Name des Computers%
An: bl4d3xcool2@gmail.com
Betreff: Ita
Body:
   • <Kl built in: %aktuelles Datum%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %Name des Computers%
     IP: %aktuelle IP Adresse%
     Data: %aktuelles Datum% Hora: %aktuelle Zeit%
     ---------------> Ita <---------------
     ITAU Agencia:%gestohlene Infromation%
     ITAU Conta:%gestohlene Infromation%
     ITAU Senha internet:%gestohlene Infromation%
     ITAU Senha do cartao:%gestohlene Infromation%
     ITAU 5 digitos do cartao:%gestohlene Infromation%
     ITAU Senha eletronica:%gestohlene Infromation%
     ITAU numero do portador:%gestohlene Infromation%
     ITAU nascimento:%gestohlene Infromation%
     PC:%gestohlene Infromation%

Von: PC:%Name des Computers%
An: bl4d3xcool2@gmail.com
Betreff: Caixa
Body:
   • <Kl built in: %aktuelles Datum%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %Name des Computers%
     IP: %aktuelle IP Adresse%
     Data: %aktuelles Datum% Hora: %aktuelle Zeit%
     --------------> Caixa <----------------
     CAIXA Tipo=%gestohlene Infromation%
     CAIXA Agencia=%gestohlene Infromation%
     CAIXA Conta=%gestohlene Infromation%
     CAIXA S. Intermet=%gestohlene Infromation%
     CAIXA Ass. Eletronica= %gestohlene Infromation%

Von: PC:%Name des Computers%
An: bl4d3xcool2@gmail.com
Betreff: BB
Body:
   • <Kl built in: %aktuelles Datum%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %Name des Computers%
     IP: %aktuelle IP Adresse%
     Data: %aktuelles Datum% Hora: %aktuelle Zeit%
     ---------------> BB <-----------------
     BB Titular:%gestohlene Infromation%
     BB Agencia:%gestohlene Infromation%
     BB Conta:%gestohlene Infromation%
     BB Senha A.Atendimento:%gestohlene Infromation%
     BB Senha Cartao:%gestohlene Infromation%
     <------------------------------------->

Die Email könnte wie eine der folgenden aussehen.

Versand MX Server:
Es besitzt die Fähigkeit folgenden MX Server zu kontaktieren:
• smtp.isbt.com.br

Diebstahl – Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • wwws1.bec.com.br
   • banknet.brb.com.br/brbBanknet
   • banknet.brb.com.br/banknet
   • wwws.nossacaixa.com.br/bemvindo.asp
   • nel.bnb.gov.br
   • empresarial.unibanco.com.br/index.asp
   • ibpf.unibanco.com.br/index.asp
   • santandernet.com.br
   • www.realsecureweb.com.br/scripts/engine_brpi.dll
   • www2.realsecureweb.com.br/scripts/engine_brpi.dll
   • https://wwwss.bradesco.com.br - Bradesco Internet Banking
   • https://wwwss.bradesco.com.br/scripts/ib2k1.dll/LOGIN
   • https://ww4.banrisul.com.br/bto/link/msie/btope0hw.asp

– Nachdem eine Webseite besucht wurde dessen URL eine der folgenden Substings enthält, wird eine Protokollfunktion gestartet:
   • itau
   • bradesco
   • realemp
   • banespa
   • santander
   • unibanco
   • uniempresa
   • caixa
   • real
   • bbjuridica
   • bec
   • brb
   • nossacaixa
   • banrisul
   • nordeste
   • bancorural

– Aufgezeichnet wird:
    • Tastaturanschläge
    • Anmeldeinformation

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• STFK MutexXx

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• PEtite 2.2

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Mon, 29 Aug 2005 11:18 (GMT+1)
Beschreibung geändert von Iulia Diaconescu am Mon, 19 Sep 2005 14:03 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück