Nombre:TR/Spy.Agent.gct
Descubierto:17/06/2008
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:No
Tamaño:~4.143.000 Bytes
Versión del IVDF:7.00.04.210 - martes 17 de junio de 2008

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: Infostealer
   •  Kaspersky: Trojan-Spy.Win32.Banker.oyi
   •  TrendMicro: TROJ_BANKER.NWL
   •  F-Secure: Trojan-Spy.Win32.Banker.oyi
   •  Panda: Trj/Banker.FWD
   •  Grisoft: PSW.Banker4.AHOP
   •  Eset: probably a variant of Win32/Spy.Banker trojan


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\Internet_Explorer.exe



Crea el siguiente fichero:

– C:\001.tmp Este fichero contiene los datos recolectados acerca del sistema.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Internet_Explorer.exe="%SYSDIR%\Internet_Explorer.exe"



Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\FkuCMxHi]
   • htIRtBqg=%valores hex%

 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://www.nutricionchaves.com.ar/**********search/~/_.php
   • http://www.radiomarcatenerife.com/**********/Messages/lang/eng/region.php

De esta forma puede enviar informaciones. Esto se realiza mediante el método HTTP POST, empleando un script PHP.


Envía informaciones acerca de:
    • Nombre del ordenador
    • Dirección IP
    • Dirección MAC
    • Las informaciones recolectadas, descritas en la sección
    • Hora del sistema
    • URL visitada

 Robo de informaciones – Después de visitar uno de los siguientes sitios web, se crea una rutina para generar ficheros de informe:
   • http://www.bb.com.br
   • http://www.unibanco.com
   • http://www.itau.com.br
   • http://www.bradesco.com.br
   • http://www.santander.com.br

– Captura:
    • Informaciones para iniciar sesión

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Thomas Wegele el miércoles 6 de agosto de 2008
Descripción actualizada por Thomas Wegele el miércoles 6 de agosto de 2008

Volver . . . .