TR/Spy.Banker.bpk - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Spy.Banker.bpk
Entdeckt am:	19/07/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	825.912 Bytes
MD5 Prüfsumme:	b6d73ad77f9c87df6853e121cfd4c98c
VDF Version:	6.35.00.184 - Wed, 19 Jul 2006 09:40 (GMT+1)
IVDF Version:	6.35.00.224

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Infostealer.Bancos!gen
   • Mcafee: PWS-Banker.gen.g
   • Kaspersky: Trojan-Spy.Win32.Banker.ark
   • TrendMicro: TSPY_BANKER.AFK
   • Sophos: Troj/Bnkmr-Fam
   • Bitdefender: Trojan.Spy.Banker.WVC

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %ALLUSERSPROFILE%\start menu\programs\startup\amsn.exe

Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCR\Software\Microsoft\Windows\CurrentVersion\Run]
• "amsn"="%WINDIR%\Config\amsn.exe"

Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:

Von:
Die Absenderadresse wurde gefälscht.
Der Absender der Email ist einer der folgenden:
   • INFECTADO
   • CAIXAECONOMICA
   • BANCODOBRASIL
   • UNIBANCO
   • BANESPA

An:
Der Empfänger der Email ist folgender:
   • gsmtp.smtp@gmail.com

Betreff:
Eine der folgenden:
   • %Name des Computers%
   • CHEGOU C/C BUFUNFA %Name des Computers%

Body:
Manchmal beginnt er mit einem der folgenden:

   • [Infectado OnLine]..:
     Maquina.............: %Name des Computers%
     IP..................: %aktuelle IP Adresse%
     Data................: %aktuelles Datum%
     Hora................: %aktuelle Stunde%
     Versão do Windows...: %Windows version%
     |'=========SOURCE BY ROJAO===========



   • Demonio FEDERAL
     !
     [Caixa Tip].............:
     [Caixa Agê].............:
     [Caixa Con].............:
     [Caixa SeNet]...........:
     [Caixa AssElet].........:
     !
     !==========SOURCE BY ROJAO=============

   • Unibanco nem parece Banco :D
     [Con-Dig]......:
     [SeCont].......:
     [AssElet]......:
     [NascimE]......:
     !=========SOURCE BY ROJAO==========

   • BANESPA
     [Cont]:.........:
     [Nome Acesso]:..:
     [Sen]:..........:
     [Ass E]:........:
     ==============SOURCE BY ROJAO============

Die Email könnte wie eine der folgenden aussehen.

Versand MX Server:
Es besitzt die Fähigkeit folgenden MX Server zu kontaktieren:
• gsmtp185.google.com

Diebstahl Es wird versucht folgende Information zu klauen:

– Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • http://www.caixa.gov.br/_redirect/links/r_internetcaixa.asp
   • http://www.bancodobrasil.com.br/appbb/portal/index.jsp
   • http://www.santanderbanespa.com.br/portal/gsb/script/templates/GCMRequest.do?page=50

– Aufgezeichnet wird:
    • Anmeldeinformation

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• fataL MuTexXx

Kurzfassung hier.

Beschreibung erstellt von Gabriel Mustata am Tue, 03 Oct 2006 09:23 (GMT+1)
Beschreibung geändert von Andrei Ivanes am Tue, 24 Oct 2006 16:52 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück