TR/Banker.Delf.DF735649 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Banker.Delf.DF735649
Entdeckt am:	14/03/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	497.263 Bytes
MD5 Prüfsumme:	ba970E1969262fe24e8f580B25d10Bc1
VDF Version:	6.34.00.44 - Tue, 14 Mar 2006 09:43 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: PWS-Banker.gen.bb
   • TrendMicro: TSPY_BANKER.CGU
   • Bitdefender: Trojan.Banker.Delf.DF735649

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Stiehlt Informationen

Nach Aktivierung wird folgende Information angezeigt:

Das Bild wurde der Anzeige halber modifiziert.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Windows"="%WINDIR%\smss.exe"

Alle Werte des folgenden Registryschlüssel und alle Subkeys werden gelöscht:
• [HKCR\CLSID\{2E3C3651-B19C-4DD9-A979-901EC3E930AF}]

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Code Store Database]

Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:

Von:
Der Absender der Email ist folgender:
   • "%Name des Computers%"

An:
Der Empfänger der Email ist folgender:
   • peixim2007@gmail.com

Betreff:
Folgende:
   • Aviso-Infect - %Name des Computers%

Body:

Der Body der Email ist folgender:

   • %Name des Computers%

     Dispositivo instalado.
     Maquina pronta para uso.

     Data: %aktuelles Datum%
     Hora: %aktuelle Stunde%

     Development by CROW MASTER.

Die Email sieht wie folgt aus:

Versand MX Server:
Es besitzt die Fähigkeit folgende MX Server zu kontaktieren:
   • smtp.isbt.com.br
   • smtp.terra.com.br
   • smtp.poa.terra.com.br

Diebstahl Es wird versucht folgende Information zu klauen:

– Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • https://itaubankline.itau.com.br
   • https://bankline.itau.com.br
   • https://netbanking2.banespa.com.br
   • https://internetcaixa.caixa.gov.br
   • http://www.bb.com.br
   • http://www.itau.com.br
   • http://www.santander.com.br
   • http://www.banespa.com.br
   • http://www.sudameris.com.br
   • http://www.bradesco.com.br

– Aufgezeichnet wird:
    • Fensterinformation
    • Anmeldeinformation

–Formularfenster werden angezeigt. Diese sehen wie folgt aus:

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Fri, 17 Mar 2006 10:26 (GMT+1)
Beschreibung geändert von Daniel Constantin am Fri, 17 Mar 2006 10:47 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück