TR/Spy.Banker.adi - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Spy.Banker.adi
Entdeckt am:	14/09/2005
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	497.959 Bytes
MD5 Prüfsumme:	eb3e49ef05fe53fed1d626030e2803bc
VDF Version:	6.32.0.6

General Aliases:
   • Mcafee: PWS-Banker.gen.bb
   • Kaspersky: Trojan-Spy.Win32.Banker.adi

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Verfügt über eigene Email Engine
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\svchosts.exe

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "svchosts.exe"="%WINDIR%\svchosts.exe"

Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:

Design der Emails:

Von: "Opa! mais uma infectado - Engenharia MC" <infected@isbt.com.br>
An: deadskinmask.666@hotmail.com
Betreff: %Name des Computers% INFECTADO
Body:
   • Infectado

Von: contas@isbt.com.br
An: deadskinmask.666@hotmail.com
Betreff: INFO AQUI
Body:
   • Infectado

     ------- %Name der Bank% -------
     %gestohlene Infromation%

Von: contas@isbt.com.br
An: deadskinmask.666@hotmail.com
Betreff: INFO AQUI
Body:
   • Infectado

     ----------->>> %banc name% <<<----------------
     %gestohlene Infromation%

Die Email könnte wie eine der folgenden aussehen.

Versand Es besitzt die Fähigkeit folgende MX Server zu kontaktieren:
   • smtp.isbt.com.br
   • smtp.sbt.terra.com.br
   • smtp.poa.terra.com.br

Diebstahl – Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • https://wwwss.bradesco.com.br/
   • empresarial.unibanco.com.br/index.asp
   • ibpf.unibanco.com.br/index.asp

– Nachdem eine Webseite besucht wurde dessen URL eine der folgenden Substings enthält, wird eine Protokollfunktion gestartet:
   • bradesco.com.br/scripts
   • bradesco
   • uniba
   • caixa

– Aufgezeichnet wird:
    • Tastaturanschläge
    • Anmeldeinformation

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• STFK MutexXx

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• Petite 2.2

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Wed, 14 Sep 2005 16:42 (GMT+1)
Beschreibung geändert von Iulia Diaconescu am Mon, 19 Sep 2005 10:42 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück