Nume:TR/Spy.Banker.ccj
Descoperit pe data de:05/10/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:970.752 Bytes
MD5:7e3a0361cdfe790d15ee8a25c16a0c28
Versiune VDF:6.36.00.79
Versiune IVDF:6.36.00.95 - Thursday, October 12, 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Banker.ccj
   •  F-Secure: Trojan-Spy.Win32.Banker.ccj
   •  Sophos: Troj/Bancban-PK
   •  Grisoft: PSW.Banker2.QKO
   •  Eset: Win32/Spy.Banker.AWA
   •  Bitdefender: Trojan.Banker.Delf.DG


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Sustrage informatii

 Fisiere Sunt create fisierele:

– Fisier inofensiv:
   • %SYSDIR%\epson.txt

– Un fisier temporar care poate fi sters dupa aceea:
   • %SYSDIR%\fotos\foto%numar%.jpg




Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • %SYSDIR%\netsh.exe
cu urmatorii parametri: firewall add allowedprogram %SYSDIR%\epson.scr Ftp..


– Numele fisierului:
   • %SYSDIR%\netsh.exe
cu urmatorii parametri: firewall add allowedprogram %SYSDIR%\epson.scr smtp..

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Epson"="%SYSDIR%\epson.scr"

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


De la:
Expeditorul email-ului este unul din urmatorii:
   • bemvindo2006@mail.ru
   • bemvindo2005@mail.ru
   • bemvindo2007@mail.ru


Catre:
Destinatarii mesajului sunt:
   • bemvindo2007@gmail.com
   • bemvindo20066@gmail.com
   • vidanova424@gmail.com


Formatul email-urilor:
Subiect: MAIS UM NO AGUARDO%numele computerului%
Subiect: Sangue Bom - %numele computerului%
Corp mesaj:
   • %numele computerului%
     %informatiile sustrase%
Atasament:
   • foto%numar%.jpg



Email-ul poate arata ca unul din urmatoarele:



 Email Server MX:
Se poate conecta la serverul MX:
   • smtp.mail.ru

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

– O rutina de logare este pornita dupa ce unul din urmatoarele site-uri este vizitat:
   • http://www.orkut.com
   • http://www.bb.com.br
   • http://www.bradesco.com.br
   • http://www.equifax.com.br
   • http://www.santander.com.br
   • http://santander.com.br/portal/bsb/script/templates/GCMRequest.do?page=1010
   • http://www.banespa.com.br
   • http://www.itau.com.br
   • https://bankline.itau.com.br/GRIPNET/gracgi.EXE
   • https://www2.bancobrasil.com.br/aapf/aai/principal
   • https://internetcaixa.caixa.gov.br/NASApp/SIIBC/login_autentica.processa
   • https://bradesconetempresa.com.br
   • https://www2.bancobrasil.com.br/aapf/aai/login.pbk?textoConteudo=3

– Face captura la:
    • Informatii de logare

–Sunt afisate ferestre cu formulare, asa cum arata imaginile de mai jos:




 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Adriana Popa on Thursday, December 7, 2006
Description updated by Adriana Popa on Friday, December 8, 2006

Back . . . .