Nombre:TR/Spy.Banker.mxp
Descubierto:26/11/2008
Tipo:Troyano
Subtipo:Spy
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:No
Tamaño:~ 3.061.120 Bytes
Versión del IVDF:7.01.00.138 - miércoles 26 de noviembre de 2008

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Banker.Win32.Banker.aaus
   •  F-Secure: Trojan-Banker.Win32.Banker.aaus
   •  Sophos: Mal/DelpBanc-A
   •  Grisoft: PSW.Banker5.AEW
   •  VirusBuster: TrojanSpy.Banker.BISF
   •  Eset: Win32/Spy.Banker.PVH trojan
   •  Bitdefender: Packer.RLPack.D


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %ALLUSERSPROFILE%\start menu\programs\startup\Java(TM).exe



Crea el siguiente fichero:

– C:\start.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Java(TM)="C:\Arquivos de programas\Java(TM).exe"

 Finalización de los procesos  Desactiva el siguiente servicio:
   • GbpSv

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • http://contagemdeamigos.iespana.es/**********/contar.php

De esta forma puede enviar informaciones. Esto se realiza mediante el método HTTP GET y POST, empleando un script PHP.


Envía informaciones acerca de:
    • Las informaciones recolectadas, descritas en la sección

 Robo de informaciones Intenta robar las siguientes informaciones:

– Después de visitar uno de los siguientes sitios web, se crea una rutina para generar ficheros de informe:
   • https://www.bradesco.com.br
   • https://netbanking2.banespa.com.br

– Captura:
    • Informaciones para iniciar sesión

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • RLPack

Descripción insertada por Thomas Wegele el martes 16 de diciembre de 2008
Descripción actualizada por Thomas Wegele el martes 16 de diciembre de 2008

Volver . . . .