Nombre:TR/Spy.Banker.bpj
Descubierto:19/07/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:285.184 Bytes
Suma de control MD5:c3d013ce5cef94c914fa570C945a231f
Versión del VDF:6.35.00.184
Versión del IVDF:6.35.00.224

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Banker.bpj
   •  TrendMicro: TSPY_BANKER.BVM
   •  Sophos: Troj/Banker-LCR
   •  Bitdefender: Trojan.Spy.Banker.WVA


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador


Inmediatamente después de su ejecución, muestra la siguiente información:



Inmediatamente después de ejecutarse, inicia una aplicación de Windows que muestra la siguiente ventana:


 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\winsp II\Services.exe



Crea la siguiente carpeta:
   • %SYSDIR%\winsp II



Crea el siguiente fichero:

%SYSDIR%\servicesxpnt.dll En este fichero se registran las pulsaciones de teclado.



Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • %directorio escogido de forma aleatoria%\IExplore.exe
Ejecuta el fichero con los parámetros siguientes: www_getwindowinfo

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Services"="%SYSDIR%\winsp II\Services.exe"



Añade la siguiente clave al registro:

– HKCU\Services

 Correo electrónico No tiene rutina propia de propagación, pero puede enviar mensajes de correo. Lo más probable es que el destinatario sea el autor del virus. Las características están descritas a continuación:


De:
La dirección del remitente es falsa.
El remitente del mensaje de correo es el siguiente:
   • "%nombre del ordenador%" <cristinacastro007@gmail.com>


Para:
El destinatario del mensaje es el siguiente:
   • cristinacastro007@gmail.com


Asunto:
El siguiente:
   • confirmando =?ISO-8859-1?Q?atualiza=E7=E3o?= sp2%nombre del
      ordenador%



El cuerpo del mensaje:
El cuerpo del mensaje es el siguiente:

   • %informaciones robadas%



El mensaje de correo se ve así:


 Envio de mensajes Servidor MX:
Puede conectarse al servidor MX:
   • gsmtp185.google.com

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • http://zptq.no.sapo.pt/**********

De esta forma obtiene el control remoto. Esto se realiza mediante una interrogación HTTP GET en un script CGI.
La respuesta del servidor queda escrita en el fichero: %SYSDIR%\itlzxp.dll


Capabilidades de control remoto:
    • Descargar fichero

 Robo de informaciones Intenta robar las siguientes informaciones:

– Después de visitar uno de los siguientes sitios web, se crea una rutina para generar ficheros de informe:
   • http://citibank.com
   • http://www.uol.com.br

– Captura:
    • Información de la ventana
    • Ventana del navegador

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Marius T. Nicolae el lunes 11 de septiembre de 2006
Descripción actualizada por Marius T. Nicolae el lunes 11 de septiembre de 2006

Volver . . . .