TR/SPY.Bank.abg.236 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/SPY.Bank.abg.236
Entdeckt am:	06/09/2005
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	989.184 Bytes
MD5 Prüfsumme:	fe58df8c01b6e6b5430a0810a18d88b8
VDF Version:	6.31.1.214

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Spy.Win32.Banker.abg
   • TrendMicro: TSPY_BANKER.ABF
   • VirusBuster: TrojanSpy.Banker.AKM

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Verfügt über eigene Email Engine
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\config\svchost.exe

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "svchost"="c:\windows\config\svchost.exe"

Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:

Design der Email:

Von: Makina: %Name des Computers%
An: alexis16@isbt.com.br
Betreff: %Name des Computers% Infectado
Body:
   • Nome do Computador:%Name des Computers% Infected
     IP:%aktuelle IP Adresse%
     Data:%aktuelles Datum% Hora:%aktuelle Stunde%

Von: PC: %Name des Computers%
An: edfs05@yahoo.com.br
Betreff: %Name der Bank%
Body:
   • %gestohlene Infromation%


Die Email könnte wie eine der folgenden aussehen.

Versand MX Server:
Es verwendet nicht den Standard MX Server.
Es besitzt die Fähigkeit folgenden MX Server zu kontaktieren:
• smtp.isbt.com.br

Diebstahl – Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • wwws1.bec.com.br
   • wwws.nossacaixa.com.br
   • www.realsecureweb.com.br
   • wwwss.bradesco.com.br
   • ww4.banrisul.com.br
   • nel.bnb.gov.br
   • banknet.brb.com.br
   • wwws1.bec.com.br

– Nachdem eine Webseite besucht wurde dessen URL eine der folgenden Substings enthält, wird eine Protokollfunktion gestartet:
   • banrisul
   • bradesco
   • bbjuridica
   • caixa
   • banespa
   • Real Internet Banking
   • real
   • santander
   • unibanco
   • uniempresa
   • nordeste
   • nossacaixa
   • itau
   • bancorural
   • brb
   • bec

– Aufgezeichnet wird:
    • Tastaturanschläge
    • Anmeldeinformation

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• STFK MutexXx

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• PECompact

Kurzfassung hier.

Beschreibung erstellt von Razvan Olteanu am Mon, 05 Sep 2005 16:32 (GMT+1)
Beschreibung geändert von Razvan Olteanu am Fri, 09 Sep 2005 16:26 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück