TR/Spy.Agent.gct - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Spy.Agent.gct
Entdeckt am:	17/06/2008
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Nein
Dateigröße:	~4.143.000 Bytes
IVDF Version:	7.00.04.210 - Tue, 17 Jun 2008 17:15 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Infostealer
   • Kaspersky: Trojan-Spy.Win32.Banker.oyi
   • TrendMicro: TROJ_BANKER.NWL
   • F-Secure: Trojan-Spy.Win32.Banker.oyi
   • Panda: Trj/Banker.FWD
   • Grisoft: PSW.Banker4.AHOP
   • Eset: probably a variant of Win32/Spy.Banker trojan

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\Internet_Explorer.exe

Es wird folgende Datei erstellt:

– C:\001.tmp Diese Datei enthält gesammelte Informationen über das System.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Internet_Explorer.exe="%SYSDIR%\Internet_Explorer.exe"

Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\FkuCMxHi]
• htIRtBqg=%Hex Werte%

Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://www.nutricionchaves.com.ar/**********search/~/_.php
   • http://www.radiomarcatenerife.com/**********/Messages/lang/eng/region.php

Hierdurch können Informationen gesendet werden. Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.

Sende Informationen über:
    • Computername
    • IP Adresse
    • MAC Adresse
    • Aus dem Diebstahl-Bereich gesammelte Informationen
    • Systemzeit
    • besuchte URLs

Diebstahl – Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • http://www.bb.com.br
   • http://www.unibanco.com
   • http://www.itau.com.br
   • http://www.bradesco.com.br
   • http://www.santander.com.br

– Aufgezeichnet wird:
    • Anmeldeinformation

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Thomas Wegele am Wed, 06 Aug 2008 09:43 (GMT+1)
Beschreibung geändert von Thomas Wegele am Wed, 06 Aug 2008 12:11 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück