Nombre:TR/Spy.Banker.bpk
Descubierto:19/07/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:825.912 Bytes
Suma de control MD5:b6d73ad77f9c87df6853e121cfd4c98c
Versión del VDF:6.35.00.184
Versión del IVDF:6.35.00.224

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: Infostealer.Bancos!gen
   •  Mcafee: PWS-Banker.gen.g
   •  Kaspersky: Trojan-Spy.Win32.Banker.ark
   •  TrendMicro: TSPY_BANKER.AFK
   •  Sophos: Troj/Bnkmr-Fam
   •  Bitdefender: Trojan.Spy.Banker.WVC


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %ALLUSERSPROFILE%\start menu\programs\startup\amsn.exe

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCR\Software\Microsoft\Windows\CurrentVersion\Run]
   • "amsn"="%WINDIR%\Config\amsn.exe"

 Correo electrónico No tiene rutina propia de propagación, pero puede enviar mensajes de correo. Lo más probable es que el destinatario sea el autor del virus. Las características están descritas a continuación:


De:
La dirección del remitente es falsa.
El remitente del mensaje de correo es uno de los siguientes:
   • INFECTADO
   • CAIXAECONOMICA
   • BANCODOBRASIL
   • UNIBANCO
   • BANESPA


Para:
El destinatario del mensaje es el siguiente:
   • gsmtp.smtp@gmail.com


Asunto:
Uno de los siguientes:
   • %nombre del ordenador%
   • CHEGOU C/C BUFUNFA %nombre del ordenador%



El cuerpo del mensaje:
A veces empieza con:

   • [Infectado OnLine]..:
     Maquina.............: %nombre del ordenador%
     IP..................: %dirección IP actual%
     Data................: %fecha actual%
     Hora................: %hora actual%
     Versão do Windows...: %versión de Windows%
     |'=========SOURCE BY ROJAO===========
     
     

   • Demonio FEDERAL
     !
     [Caixa Tip].............:
     [Caixa Agê].............:
     [Caixa Con].............:
     [Caixa SeNet]...........:
     [Caixa AssElet].........:
     !
     !==========SOURCE BY ROJAO=============

   • Unibanco nem parece Banco :D
     [Con-Dig]......:
     [SeCont].......:
     [AssElet]......:
     [NascimE]......:
     !=========SOURCE BY ROJAO==========

   • BANESPA
     [Cont]:.........:
     [Nome Acesso]:..:
     [Sen]:..........:
     [Ass E]:........:
     ==============SOURCE BY ROJAO============



El mensaje de correo puede tener una de las siguientes formas:



 Envio de mensajes Servidor MX:
Puede conectarse al servidor MX:
   • gsmtp185.google.com

 Robo de informaciones Intenta robar las siguientes informaciones:

– Después de visitar uno de los siguientes sitios web, se crea una rutina para generar ficheros de informe:
   • http://www.caixa.gov.br/_redirect/links/r_internetcaixa.asp
   • http://www.bancodobrasil.com.br/appbb/portal/index.jsp
   • http://www.santanderbanespa.com.br/portal/gsb/script/templates/GCMRequest.do?page=50

– Captura:
    • Informaciones para iniciar sesión

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • fataL MuTexXx

Descripción insertada por Gabriel Mustata el martes 3 de octubre de 2006
Descripción actualizada por Andrei Ivanes el martes 24 de octubre de 2006

Volver . . . .