Nombre:TR/Spy.Banker.vk.1
Descubierto:31/08/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:448.328 Bytes
Suma de control MD5:f50D69bac27736ecd238039405bf3b60
Versión del VDF:6.31.01.124

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Banker.aww
   •  TrendMicro: TSPY_BANKER.EZL
   •  VirusBuster: TrojanSpy.Banker.EKW
   •  Bitdefender: Generic.Banker.Delf.11A1B4E9


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros  Elimina los siguientes ficheros:
   • %temporary internet files%\*.gif
   • %temporary internet files%\*.css
   • %temporary internet files%\*.php
   • %temporary internet files%\*.xml
   • %temporary internet files%\*.bmp
   • %temporary internet files%\*.htm
   • %temporary internet files%\*.cab
   • %temporary internet files%\*.crl
   • %cookies%\*.txt

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "boby."="%SYSDIR%\Isass.scr"



Añade la siguiente clave al registro:

– [HKCU\boby]

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas tipeadas en los campos de contraseñas

– Después de visitar uno de los siguientes sitios web, se crea una rutina para generar ficheros de informe:
   • https://www2.bancobrasil.com.br/aapf/aai/**********;
      https://www2.bancobrasil.com.br/aapf/extratos/**********;
      https://www2.bancobrasil.com.br/aapf/aai/**********;
      https://office.bancobrasil.com.br/servlet/**********;
      https://office.bancobrasil.com.br/gov/**********;
      https://www2.bancobrasil.com.br/aapf/aai/**********;
      http://www.bb.com.br/appbb/portal/bb/ds/**********;
      http://www.bb.com.br/appbb/portal/voce/fin/fnc/**********;
      http://www.bb.com.br/appbb/portal/bb/pp/**********;
      http://www.bb.com.br/appbb/portal/voce/mcif/**********;
      http://www.bb.com.br/appbb/portal/hs/crediario/**********;
      http://www.bb.com.br/appbb/portal/ip/srv2/**********;
      http://www.bb.com.br/appbb/portal/voce/ep/srv2/**********;
      http://www.bb.com.br/appbb/portal/voce/fin/**********;
      http://www.bb.com.br/appbb/portal/voce/ep/car/**********;
      http://www.bb.com.br/appbb/portal/voce/cons/**********;
      http://www.bb.com.br/appbb/portal/on/seg/**********;
      http://www.bb.com.br/appbb/portal/on/prv/**********;
      http://www.bb.com.br/appbb/portal/on/cap/**********;
      http://www.bb.com.br/appbb/portal/bb/simp/**********;
      http://www.bb.com.br/appbb/portal/voce/ep/srv2/**********;
      http://www.bb.com.br/appbb/portal/gov/**********;
      http://www.bb.com.br/appbb/portal/fz2/**********;
      http://www.bb.com.br/appbb/portal/**********

– Captura:
    • Informaciones para iniciar sesión

–Muestra ventanas con formularios, tal como se ve en las imágenes de abajo:



 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • PE Compact

Descripción insertada por Monica Ghitun el jueves 31 de agosto de 2006
Descripción actualizada por Monica Ghitun el viernes 15 de septiembre de 2006

Volver . . . .