Nume:TR/Banker.Delf.EC
Descoperit pe data de:16/02/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:1.560.472 Bytes
MD5:6a154e0A90f45202ec2d42e9a71a1b03
Versiune VDF:6.33.01.01 - Thursday, February 16, 2006
Versiune IVDF:6.33.01.01 - Thursday, February 16, 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  TrendMicro: TSPY_BANKER.EZT


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\AntiVirus.scr
   • %SYSDIR%\smsss.exe
   • %ALLUSERSPROFILE%\start menu\programs\startup\AntiVirus.scr

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "AntiVirus"="%SYSDIR%\AntiVirus.scr"



Se adauga in registrii sistemului:

– HKCU\SOFTWARE\MICROSOFT\MS SETUP (ACME)\

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Expeditorul email-ului este unul din urmatorii:
   • "B.R.A.V.O" <boizao2006@yahoo.com.br>
   • pau 100 mil


Catre:
– Urmatoarea adresa de email:
   • gracelltda@gmail.com


Subiect:
Unul din urmatoarele:
   • $DINHEIRO$
   • $DINHEIRO$%name of the bank%
   • ESSE =?ISO-8859-1?Q?=C9?= FORTE= %name of the computer%



Corpul email-ului:

   • %informatiile sustrase%



Email-ul poate arata ca unul din urmatoarele:



 Furt de informatii – O rutina de logare este pornita dupa ce unul din urmatoarele site-uri este vizitat:
   • http://www.bancorural.com.br/
   • unibanco.com.br
   • bradesco.com.br/scripts/
   • https://carrinho.americanas.com.br/portal/acom.portal?_nfpb=true&portlet_payment_actionOverride=#portlets#payment%
   • https://www.submarino.com.br/Payment.asp?AddrId=&Atm=
   • https://www2.rural.com.br/RuralIBank/principal.jsp
   • banknet.brb.com.br/iBanking
   • www.bec.com.br
   • bancoreal.com.br
   • http://www.bancoreal.com.br/
   • http://www.bancoreal.com.br
   • https://wwws.nossacaixa.com.br/bemvindo.asp
   • itau.com.br

– Face captura la:
    • Informatii de logare

–Sunt afisate ferestre cu formulare, asa cum arata imaginile de mai jos:




 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • fataL MuTexXx

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Marius T. Nicolae on Friday, September 1, 2006
Description updated by Marius T. Nicolae on Monday, September 18, 2006

Back . . . .