TR/Spy.Banker.agj - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Spy.Banker.agj
Entdeckt am:	10/10/2005
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	1.182.348 Bytes
MD5 Prüfsumme:	552b884e0B628756ebefad60e626bf41
VDF Version:	6.32.00.72 - Mon, 10 Oct 2005 14:33 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine Datei
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%.exe

Es wird folgende Datei erstellt:

– Nicht virulente Datei:
• %WINDIR%\note.txt

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
• "System" = "%SYSDIR%.exe"

Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:

Design der Emails:

Von: Fala Serio
An: marcorleones@gmail.com
Betreff: %Name des Computers%
Body:
   • ==============Red & Dms v.06.0===============
     Nome: %Name des Computers%
     Data: %aktuelles Datum%
     Hora: %aktuelle Stunde%
     Mac: %MAC Adresse%
     =============Phishing Bank Group===========

Von: KeyCash@gmail.com
An: marcorleones@gmail.com
Betreff: Key Cash %Name der Bank%
Body:
   • ==============Red & Dms v.06.0===============
     Nome: %Name des Computers%
     Data: %aktuelles Datum%
     Hora: %aktuelle Stunde%
     MacAddress: %MAC Adresse%
     =============Phishing Bank Group===========

     %gestohlene Infromation%

Diebstahl Es wird versucht folgende Information zu klauen:

– Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • www.latam.citibank.com/brasil/application
   • www2.rural.com.br/RuralIBank/principal.jsp
   • www.bradesco.com.br
   • www.orkut.com
   • www.google.com/accounts/ServiceLogin?service=mail
   • www.hsbc.com.br
   • www.unibanco.com.br/hom/index.asp
   • www.banespa.com.br
   • itau.com.br/indexIE.htm
   • www2.bancobrasil.com.br

– Aufgezeichnet wird:
    • Fensterinformation
    • Anmeldeinformation

–Formularfenster werden angezeigt. Diese sehen wie folgt aus:

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• windowsmedia

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Fri, 24 Feb 2006 14:58 (GMT+1)
Beschreibung geändert von Andrei Ivanes am Fri, 24 Feb 2006 17:47 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück