TR/Spy.Banker.470506 - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Spy.Banker.470506
Entdeckt am:	17/07/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	470.506 Bytes
MD5 Prüfsumme:	2f0B69c0c19a2aef7f0D9dc9a954222c
VDF Version:	6.35.00.171 - Mon, 17 Jul 2006 09:38 (GMT+1)
IVDF Version:	6.35.00.210

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Alias:
   • TrendMicro: TSPY_BANKER.ZH

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Stiehlt Informationen

Nach Aktivierung wird folgende Information angezeigt:

Dateien Es wird folgende Datei erstellt:

– Nicht virulente Datei:
• %SYSDIR%\ItaKbaço

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Windows"="%WINDIR%\smss.exe"

Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:

Design der Email:
Von: %Name des Computers%
An: eikdvoce01@mail.ru
Betreff: Av1s0-Inf3ct by Xupetao - %Name des Computers%
Body:
   • %Name des Computers%

     Dispositivo instalado.
     Maquina pronta para uso.

     Data: %aktuelles Datum%
     Hora: %aktuelle Stunde%

     Development by XUPETAO DE BALEIA.
     .

Versand MX Server:
Es besitzt die Fähigkeit folgenden MX Server zu kontaktieren:
• smtp.isbt.com.br

Diebstahl Es wird versucht folgende Information zu klauen:

– Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • https://internetcaixa.caixa.gov.br/NASApp/SIIBC/login.processa
   • https://internetcaixa.caixa.gov.br/NASApp/SIIBC/index_verif.processa
   • https://internetcaixa.caixa.gov.br/NASApp/SIIBC/login_autentica.processa
   • http://www.itau.com.br
   • http://www.bradesco.com.br
   • https://itaubankline.itau.com.br
   • https://bankline.itau.com.br

– Aufgezeichnet wird:
    • Anmeldeinformation

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Wed, 06 Sep 2006 10:43 (GMT+1)
Beschreibung geändert von Iulia Diaconescu am Wed, 06 Sep 2006 11:39 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück