Nume:TR/Spy.Banke.any.89
Descoperit pe data de:12/07/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:822.904 Bytes
MD5:48cbfa5f08bab42cb79bdefc7795ff30
Versiune VDF:6.35.00.154
Versiune IVDF:6.35.00.193 - jueves 20 de julio de 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Banker.ark
   •  Sophos: Troj/Bnkmr-Fam
   •  VirusBuster: TrojanSpy.Banker.DWK


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %ALLUSERSPROFILE%\start menu\programs\startup\amsn.exe

 Registrii sistemului Se adauga in registrii sistemului:

– HKCR\Software\Microsoft\Windows\CurrentVersion\Run
   • "amsn"="%WINDIR%\System32%WINDIR%\Config\amsn.exe"

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


Formatul email-urilor:
De la: INFECTADO &ltroger.capellari@gmail.com>
Catre: louco.bank@gmail.com <louco.bank@gmail.com>
Subiect: INFECTADO%numele computerului%
Corp mesaj:
   • [Infectado OnLine]..:
     Maquina.............: %numele computerului%
     IP..................: %IP-ul curent%
     Data................: %data curenta%
     Hora................: %ora curenta%
     Verso do Windows...: %sistem de operare% (version %versiune Windows%)
     |'=========SOURCE BY ROJAO===========
     .
De la: BANESPA <BANESPA>
Catre: bianca3007@gmail.com <bianca3007@gmail.com>
Subiect: CHEGOU C/C %numele computerului%
Corp mesaj:
   • '
     [Infectado OnLine]..:
     Maquina.............: %numele computerului%
     IP..................: %IP-ul curent%
     Data................: %data curenta%
     Hora................: %ora curenta%
     Verso do Windows...: %sistem de operare% (version %versiune Windows%)
     |'=========SOURCE BY ROJAO===========
     BANESPA
     !
     ![Ag]:...........%informatiile sustrase%
     ![Cont]:.........%informatiile sustrase%
     ![Nome Acesso]:..%informatiile sustrase%
     ![Sen]:..........%informatiile sustrase%
     ![Ass E]:........%informatiile sustrase%
     !
     !-=-=-=-=-=-|_PaPaRaZz0_|-=-=-=-=-=-
De la: UNIBANCO <UNIBANCO>
Catre: bianca3007@gmail.com <bianca3007@gmail.com>
Subiect: CHEGOU C/C %numele computerului%
Corp mesaj:
   • '
     [Infectado OnLine]..:
     Maquina.............: %numele computerului%
     IP..................: %IP-ul curent%
     Data................: %data curenta%
     Hora................: %ora curenta%
     Versão do Windows...: %sistem de operare% (version %versiune Windows%)
     |'=========SOURCE BY ROJAO===========
     Unibanco nem parece Banco :D
     !
     [Agên].........: %informatiile sustrase%
     [Con-Dig]......: %informatiile sustrase%
     [SeCont].......: %informatiile sustrase%
     [AssElet]......: %informatiile sustrase%
     [NascimE]......: %informatiile sustrase%
     
     !=========SOURCE BY ROJAO==========



Email-ul poate arata ca unul din urmatoarele:




 Email Server MX:
Se poate conecta la serverul MX:
   • gsmtp185.google.com

 Furt de informatii – O rutina de logare este pornita dupa ce unul din urmatoarele site-uri este vizitat:
   • http://www.banespa.com.br/
   • http://www.unibanco.com.br/

– Face captura la:
    • Informatii de logare

–Sunt afisate ferestre cu formulare, asa cum arata imaginile de mai jos:







 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • fataL MuTexXx

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Ionut Slaveanu el miércoles 30 de agosto de 2006
Descripción actualizada por Andrei Ivanes el jueves 14 de septiembre de 2006

Volver . . . .