Nume:TR/Spy.Agent.gct
Descoperit pe data de:17/06/2008
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~4.143.000 Bytes
Versiune IVDF:7.00.04.210 - martes 17 de junio de 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Infostealer
   •  Kaspersky: Trojan-Spy.Win32.Banker.oyi
   •  TrendMicro: TROJ_BANKER.NWL
   •  F-Secure: Trojan-Spy.Win32.Banker.oyi
   •  Panda: Trj/Banker.FWD
   •  Grisoft: PSW.Banker4.AHOP
   •  Eset: probably a variant of Win32/Spy.Banker trojan


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\Internet_Explorer.exe



Este creat fisierul:

– C:\001.tmp Informatii obtinute despre sistem.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Internet_Explorer.exe="%SYSDIR%\Internet_Explorer.exe"



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\FkuCMxHi]
   • htIRtBqg=%valori hex%

 Backdoor Servere contactate:
Urmatoarele:
   • http://www.nutricionchaves.com.ar/**********search/~/_.php
   • http://www.radiomarcatenerife.com/**********/Messages/lang/eng/region.php

Astfel se pot transmite informatii. Aceasta se face prin metoda HTTP POST, folosind un script PHP.


Trimte informatii despre:
    • Numele sistemului
    • Adresa IP
    • adresa MAC
    • Informatiile colectate, descrise in sectiunea
    • Ora sistemului
    • adresele vizitate

 Furt de informatii – O rutina de logare este pornita dupa ce unul din urmatoarele site-uri este vizitat:
   • http://www.bb.com.br
   • http://www.unibanco.com
   • http://www.itau.com.br
   • http://www.bradesco.com.br
   • http://www.santander.com.br

– Face captura la:
    • Informatii de logare

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Thomas Wegele el miércoles 6 de agosto de 2008
Descripción actualizada por Thomas Wegele el miércoles 6 de agosto de 2008

Volver . . . .