TR/Spy.Banker.GN.118784 - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Spy.Banker.GN.118784
Entdeckt am:	02/11/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	118.784 Bytes
MD5 Prüfsumme:	b555647ee3464114a5c2d43b0b470799
VDF Version:	6.36.00.150
IVDF Version:	6.36.00.167 - Wed, 25 Oct 2006 16:56 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Spy.Win32.Bancos.yt
   • Sophos: Mal/VBBanc-A
   • Grisoft: PSW.Banker2.STH
   • Eset: Win32/Spy.Bancos.U
   • Bitdefender: Generic.Banker.VB.C4AE81C9

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt Dateien herunter
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\tasklist32.exe

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://www.pcmicro01.vila.bol.com.br/**********
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

– Die URL ist folgende:
   • http://www.pcmicro01.vila.bol.com.br/beto1/**********
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

Registry Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "TaskList"="\"%SYSDIR%\tasklist32.exe\""

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\Storages\
   InternetMail\RealTimeScan]
   • "OnOff"=dword:00000000

Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:

Von:
Der Absender der Email ist folgender:
   • antonioautentica@yahoo.com.br

An:
Die Empfänger der Email sind folgende:
   • williansantunes@bol.com.br
   • pulse@bol.com.br

Betreff:
Folgende:
   • Nova Coleta ! %aktuelles Datum% %aktuelle Zeit%

Body:
–  Er wird unter Zuhilfenahme einer "regular expresseion" konstruiert.
Der Body der Email ist folgender:

   • %zufällige Buchstabenkombination%

Gefolgt von einer der folgenden:

   • Msg da versão.: OR - %Nummer%-Erro no arquivo

Die Email sieht wie folgt aus:

Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter

– Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • www2.bancobrasil.com.br
   • https://www2.bancobrasil.com.br/aapf/saldos/006.jsp?codT=0
   • https://www2.bancosbrasil.com.br/aapff/aaii/principal
   • http://www.internetcaixa.caixa.gov.br
   • https://bankline.itau.com.br/GRIPNET/gracgi.exe
   • http://www.bankline.itau.com.br

– Aufgezeichnet wird:
    • Fensterinformation
    • Anmeldeinformation

–Ein Formularfenster wird angezeigt. Es sieht wie folgt aus:

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• PE Compact

Kurzfassung hier.

Beschreibung erstellt von Monica Ghitun am Thu, 02 Nov 2006 14:54 (GMT+1)
Beschreibung geändert von Monica Ghitun am Tue, 21 Nov 2006 15:39 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück