TR/Spy.Banker.vk.1 - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Spy.Banker.vk.1
Entdeckt am:	31/08/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	448.328 Bytes
MD5 Prüfsumme:	f50D69bac27736ecd238039405bf3b60
VDF Version:	6.31.01.124 - Tue, 16 Aug 2005 17:03 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Spy.Win32.Banker.aww
   • TrendMicro: TSPY_BANKER.EZL
   • VirusBuster: TrojanSpy.Banker.EKW
   • Bitdefender: Generic.Banker.Delf.11A1B4E9

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Folgende Dateien werden gelöscht:
   • %temporary internet files%\*.gif
   • %temporary internet files%\*.css
   • %temporary internet files%\*.php
   • %temporary internet files%\*.xml
   • %temporary internet files%\*.bmp
   • %temporary internet files%\*.htm
   • %temporary internet files%\*.cab
   • %temporary internet files%\*.crl
   • %cookies%\*.txt

Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• "boby."="%SYSDIR%\Isass.scr"

Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\boby]

Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter

– Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • https://www2.bancobrasil.com.br/aapf/aai/**********;
      https://www2.bancobrasil.com.br/aapf/extratos/**********;
      https://www2.bancobrasil.com.br/aapf/aai/**********;
      https://office.bancobrasil.com.br/servlet/**********;
      https://office.bancobrasil.com.br/gov/**********;
      https://www2.bancobrasil.com.br/aapf/aai/**********;
      http://www.bb.com.br/appbb/portal/bb/ds/**********;
      http://www.bb.com.br/appbb/portal/voce/fin/fnc/**********;
      http://www.bb.com.br/appbb/portal/bb/pp/**********;
      http://www.bb.com.br/appbb/portal/voce/mcif/**********;
      http://www.bb.com.br/appbb/portal/hs/crediario/**********;
      http://www.bb.com.br/appbb/portal/ip/srv2/**********;
      http://www.bb.com.br/appbb/portal/voce/ep/srv2/**********;
      http://www.bb.com.br/appbb/portal/voce/fin/**********;
      http://www.bb.com.br/appbb/portal/voce/ep/car/**********;
      http://www.bb.com.br/appbb/portal/voce/cons/**********;
      http://www.bb.com.br/appbb/portal/on/seg/**********;
      http://www.bb.com.br/appbb/portal/on/prv/**********;
      http://www.bb.com.br/appbb/portal/on/cap/**********;
      http://www.bb.com.br/appbb/portal/bb/simp/**********;
      http://www.bb.com.br/appbb/portal/voce/ep/srv2/**********;
      http://www.bb.com.br/appbb/portal/gov/**********;
      http://www.bb.com.br/appbb/portal/fz2/**********;
      http://www.bb.com.br/appbb/portal/**********

– Aufgezeichnet wird:
    • Anmeldeinformation

–Formularfenster werden angezeigt. Diese sehen wie folgt aus:

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• PE Compact

Kurzfassung hier.

Beschreibung erstellt von Monica Ghitun am Thu, 31 Aug 2006 14:54 (GMT+1)
Beschreibung geändert von Monica Ghitun am Fri, 15 Sep 2006 15:31 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück