Nombre:TR/Spy.Banker.ccj
Descubierto:05/10/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:970.752 Bytes
Suma de control MD5:7e3a0361cdfe790d15ee8a25c16a0c28
Versión del VDF:6.36.00.79
Versión del IVDF:6.36.00.95 - jueves 12 de octubre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Banker.ccj
   •  F-Secure: Trojan-Spy.Win32.Banker.ccj
   •  Sophos: Troj/Bancban-PK
   •  Grisoft: PSW.Banker2.QKO
   •  Eset: Win32/Spy.Banker.AWA
   •  Bitdefender: Trojan.Banker.Delf.DG


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Crea los siguientes ficheros:

– Fichero no malicioso:
   • %SYSDIR%\epson.txt

– Un fichero temporal, que puede ser eliminado después:
   • %SYSDIR%\fotos\foto%número%.jpg




Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\netsh.exe
Ejecuta el fichero con los parámetros siguientes: firewall add allowedprogram %SYSDIR%\epson.scr Ftp..


– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\netsh.exe
Ejecuta el fichero con los parámetros siguientes: firewall add allowedprogram %SYSDIR%\epson.scr smtp..

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Epson"="%SYSDIR%\epson.scr"

 Correo electrónico No tiene rutina propia de propagación, pero puede enviar mensajes de correo. Lo más probable es que el destinatario sea el autor del virus. Las características están descritas a continuación:


De:
El remitente del mensaje de correo es uno de los siguientes:
   • bemvindo2006@mail.ru
   • bemvindo2005@mail.ru
   • bemvindo2007@mail.ru


Para:
Los destinatarios del mensaje son los siguientes:
   • bemvindo2007@gmail.com
   • bemvindo20066@gmail.com
   • vidanova424@gmail.com


El diseño de los mensajes de correo:
Asunto: MAIS UM NO AGUARDO%nombre del ordenador%
Asunto: Sangue Bom - %nombre del ordenador%
Cuerpo del mensaje:
   • %nombre del ordenador%
     %informaciones robadas%
Adjunto:
   • foto%número%.jpg



El mensaje de correo puede tener una de las siguientes formas:



 Envio de mensajes Servidor MX:
Puede conectarse al servidor MX:
   • smtp.mail.ru

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas tipeadas en los campos de contraseñas

– Después de visitar uno de los siguientes sitios web, se crea una rutina para generar ficheros de informe:
   • http://www.orkut.com
   • http://www.bb.com.br
   • http://www.bradesco.com.br
   • http://www.equifax.com.br
   • http://www.santander.com.br
   • http://santander.com.br/portal/bsb/script/templates/GCMRequest.do?page=1010
   • http://www.banespa.com.br
   • http://www.itau.com.br
   • https://bankline.itau.com.br/GRIPNET/gracgi.EXE
   • https://www2.bancobrasil.com.br/aapf/aai/principal
   • https://internetcaixa.caixa.gov.br/NASApp/SIIBC/login_autentica.processa
   • https://bradesconetempresa.com.br
   • https://www2.bancobrasil.com.br/aapf/aai/login.pbk?textoConteudo=3

– Captura:
    • Informaciones para iniciar sesión

–Muestra ventanas con formularios, tal como se ve en las imágenes de abajo:




 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Adriana Popa el jueves 7 de diciembre de 2006
Descripción actualizada por Adriana Popa el viernes 8 de diciembre de 2006

Volver . . . .