TR/Spy.Banbra.DJ.5 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Spy.Banbra.DJ.5
Entdeckt am:	05/10/2005
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	1.290.240 Bytes
MD5 Prüfsumme:	437D5BA8C5CF57798F3F64B4F3723337

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: PWS-Banker.gen.b
   • Kaspersky: Trojan-Spy.Win32.Banbra.dj
   • Bitdefender: Trojan.Banker.Delf.803270D0

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\iexplore.exe

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "cmssapp"="%WINDIR%\iexplore.exe"

Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:

Von:
Der Absender der Email ist folgender:
   • Usuario OK-VS.: 1.0.2.50

An:
Der Empfänger der Email ist folgender:
   • miscsuxvega@yahoo.com.br

Betreff:
Folgende:
   • Usuario %Name der Bank% %aktuelles Datum%

Body:
Der Body der Email ist folgender:

   • Nome da Maquina: %Name des Computers%
     Nome do UserPC: %aktueller Benutzernamen%
     %gestohlene Infromation%

Die Email sieht wie folgt aus:

Diebstahl Es wird versucht folgende Information zu klauen:

– Nachdem eine Webseite besucht wurde dessen URL eine der folgenden Substings enthält, wird eine Protokollfunktion gestartet:
   • bradesco.com.br/br/redirect/pj_acessoconta.;
      officebanking.bradesco.com.br//pj/iniciasessao.;
      .bancobrasil.com.br/aapf/aai/login.pbk; .bb.com.br/aapf/aai/login.pbk;
      .bancodobrasil.com.br/aapf/aai/login.pbk;
      .bec.com.br/becnet2/becnet1/index.htm?agencia=;
      banknet.brb.com.br/banknet; netbanking2.banespa.com.br/default.asp?;
      netbanking.banespa.com.br/default.asp?;
      net.sofisa.com.br/netbanking/tVirtua.jsp; nel.bnb.gov.br/default;
      nel.bnb.gov.br/aco_ini.htm;
      banrisul.com.br/bto/link/msie/btope0hw.asp?Largura=;
      rural.com.br/RuralIBank/; .rural.com.br/RuralIBank/;
      internetcaixa.caixa.gov.br/NASApp/SIIBC/index_;
      internetcaixa.caixa.gov.br/NASApp/SIIBC/index_verif.processa;
      www2.realsecureweb.com.br/scripts/engine_brpi.dll;
      www.realsecureweb.com.br/scripts/engine_brpi.dll;
      sudameris.com.br//scripts/engine_sol.dll;
      sudameris.com.br/scripts/engine_sol.dll;
      bradesco.com.br/scripts/ib2k1.dll/LOGIN

– Aufgezeichnet wird:
    • Fensterinformation
    • Anmeldeinformation

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Andrei Gherman am Thu, 06 Oct 2005 10:11 (GMT+1)
Beschreibung geändert von Andrei Gherman am Wed, 12 Oct 2005 14:02 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück