TR/Spy.Banker.boa - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Spy.Banker.boa
Entdeckt am:	10/07/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	1.512.448 Bytes
MD5 Prüfsumme:	4c3feb3408abb61ea982bd4e6a42c1a4
VDF Version:	6.35.00.141 - Mon, 10 Jul 2006 09:24 (GMT+1)
IVDF Version:	6.35.00.180

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Spy.Win32.Banker.boa
   • TrendMicro: TSPY_BANCOS.MF
   • Sophos: Troj/Banker-CZO
   • VirusBuster: trojan TrojanSpy.Banker.EKZ
   • Bitdefender: Trojan.Spy.Banker.CA

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine Datei
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\AntiVirus.exe

Es wird folgende Datei erstellt:

– %SYSDIR%\drivers\oreans32.sys

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "AntiVirus.exe"="%SYSDIR%\AntiVirus.exe"

Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– HKLM\SYSTEM\CurrentControlSet\Services\oreans32
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000001
   • "ImagePath"="\??\%SYSDIR%\drivers\oreans32.sys"
   • "DisplayName"="oreans32"

– HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security
   • "Security"=%Hex Werte%

– HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum
   • "0"="Root\\LEGACY_OREANS32\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:

Von:
Die Absenderadresse wurde gefälscht.
Der Absender der Email ist einer der folgenden:
   • "Pescado"
   • mundomaravilha@gmail.com

An:
– Die folgenden Emailadressen:
   • boximportante@gmail.com
   • boxrexeada@gmail.com

Betreff:
Eine der folgenden:
   • Amiga-bvinho
   • Bem Vindo-%name of the computer%

Body:

   • Nome do Computador: %name of the computer%
     Ip:%IP Addresse%

Manchmal gefolgt von einer der folgenden:

   • Banespa
     Numero...............:%gestohlene Infromation%
     A&C&D................:%gestohlene Infromation%
     Nome do Infeliz......:%gestohlene Infromation%
     Entrada..............:%gestohlene Infromation%
     Confirm..............:%gestohlene Infromation%

Die Email könnte wie eine der folgenden aussehen.

Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Eine Kopie seiner selbst wird in folgender freigegebenen Netzressource erstellt:
• C$

Diebstahl – Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
• https://netbanking2.banespa.com.br

–Formularfenster werden angezeigt. Diese sehen wie folgt aus:

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• STFK MutexXx

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Marius T. Nicolae am Wed, 30 Aug 2006 11:45 (GMT+1)
Beschreibung geändert von Marius T. Nicolae am Thu, 14 Sep 2006 14:45 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück