TR/Spy.Banker.ark.189 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Spy.Banker.ark.189
Entdeckt am:	13/02/2006
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	870.400 Bytes
MD5 Prüfsumme:	10e565b7fe003e1ee3c2908ec81ac0a2
VDF Version:	6.33.00.224 - Mon, 13 Feb 2006 15:33 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Alias:
   • Kaspersky: Trojan-Spy.Win32.Banker.ark

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Kopien seiner selbst werden hier erzeugt:
• %SYSDIR%\system32.exe
• %ALLUSERSPROFILE%\programs\startup\system32.exe

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "system32"="%SYSDIR%\system32.exe"

Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:

Von:
Der Absender der Email ist folgender:
   • barhamas@terra.com.br

An:
Die Empfänger der Email sind folgende:
   • jhoocanavas@gmail.com
   • foxbank3d@gmail.com

Design der Emails:

Betreff: %Name des Computers% [Infectado NY]
Body:
   • |------------HOMEM DE GELO -----------|
     |Maquina?: %Name des Computers%
     |[Infectado OnLine]: |
     |IP: %IP Addresse%|
     |Data AproX: %aktuelles Datum% Hora AproX: %aktuelle Zeit%
     |Sistema: %Betriebssystem%
     |Endereço da Placa: |
     |-----------HOMEM DE GELO-----------|

Betreff: Olha Info Ai: %Name des Computers%
Body:
   • |------------HOMEM DE GELO -----------|
     |Maquina?: %Name des Computers%
     |[Infectado OnLine]: |
     |IP: %IP Addresse%|
     |Data AproX: %aktuelles Datum% Hora AproX: %aktuelle Zeit%
     |Sistema: %Betriebssystem%
     |Endereço da Placa: |
     |-----------HOMEM DE GELO-----------|
     %Name der Bank%
     %gestohlene Infromation%

Diebstahl Es wird versucht folgende Information zu klauen:

– Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • www.bancorural.com.br
   • www.bradesco.com.br
   • www.unibanco.com.br
   • www.itau.com.br
   • www.paypal.com

– Aufgezeichnet wird:
    • Fensterinformation
    • Anmeldeinformation

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• fataL MuTexXx

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Andrei Gherman am Tue, 14 Feb 2006 09:16 (GMT+1)
Beschreibung geändert von Andrei Gherman am Tue, 14 Feb 2006 10:24 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück