TR/Spy.Banker.aca - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/Spy.Banker.aca
Descubierto:	26/08/2005
Tipo:	Troyano
Subtipo:	spyware
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	1,249,855 Bytes
Suma de control MD5:	a663d38656dcbfd49a99cd6a997b2eb9
Versión del VDF:	6.31.1.186

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Mcafee: PWS-Banker.gen.bb
   • Kaspersky: Trojan-Spy.Win32.Banker.aca
   • Sophos: Troj/Bancban-ES

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %WINDIR%\Config\svchost.exe

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "svchost"="c:\windows\\config\\svchost.exe"

Correo electrónico No tiene rutina propia de propagación, pero puede enviar mensajes de correo. Lo más probable es que el destinatario sea el autor del virus. Las características están descritas a continuación:

El diseño de los mensajes de correo:

De: Makina:%nombre del ordenador%
A: bl4d3xcool2@gmail.com
Asunto: %nombre del ordenador% Infectado
Cuerpo del mensaje:
   • Nome do Computador: %nombre del ordenador% Infected
     IP: %dirección IP actual%
     Data: %fecha actual%
     Hora: %tiempo actual%

De: PC:%nombre del ordenador%
A: bl4d3xcool2@gmail.com
Asunto: Banrisul
Cuerpo del mensaje:
   • <Kl built in: %fecha actual%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %nombre del ordenador%
     IP: %dirección IP actual%
     Data: %fecha actual% Hora: %tiempo actual%
     ------------> Banrisul <--------------
     BANRISUL Agencia=%informaciones robadas%
     BANRISUL Conta=%informaciones robadas%
     BANRISUL Senha=%informaciones robadas%
     BANRISUL Senha Complementar=%informaciones robadas%

De: PC:%nombre del ordenador%
A: bl4d3xcool2@gmail.com
Asunto: Bradesco
Cuerpo del mensaje:
   • <Kl built in: %fecha actual%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %nombre del ordenador%
     IP: %dirección IP actual%
     Data: %fecha actual% Hora: %tiempo actual%
     -------------> Bradesco <--------------
     BRADESCO Agencia :%informaciones robadas%
     BRADESCO Conta :%informaciones robadas%
     BRADESCO Tipo de conta:%informaciones robadas%
     BRADESCO S. 4 digitos:%informaciones robadas%
     BRADESCO Resposta secreta:%informaciones robadas%
     BRADESCO S. Cartao de Debito:%informaciones robadas%
     BRADESCO CPF:%informaciones robadas%
     BRADESCO Data de nascimento:%informaciones robadas%
     BRADESCO RG:%informaciones robadas%

De: PC:%nombre del ordenador%
A: bl4d3xcool2@gmail.com
Asunto: Unibanco
Cuerpo del mensaje:
   • <Kl built in: %fecha actual%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %nombre del ordenador%
     IP: %dirección IP actual%
     Data: %fecha actual% Hora: %tiempo actual%
     -------------> Unibanco <-------------
     UNIBANCO AG=%informaciones robadas%
     UNIBANCO Conta=%informaciones robadas%
     UNIBANCO Digito=%informaciones robadas%
     UNIBANCO Senha CC=%informaciones robadas%
     UNIBANCO Ass. Eletronica=%informaciones robadas%

De: PC:%nombre del ordenador%
A: bl4d3xcool2@gmail.com
Asunto: Unibanco Empresa
Cuerpo del mensaje:
   • <Kl built in: %fecha actual%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %nombre del ordenador%
     IP: %dirección IP actual%
     Data: %fecha actual% Hora: %tiempo actual%
     ----------> Unibanco Empresa <---------
     UNIBANCO Apelido=%informaciones robadas%

De: PC:%nombre del ordenador%
A: bl4d3xcool2@gmail.com
Asunto: Banco Estadual do Cear
Cuerpo del mensaje:
   • <Kl built in: %fecha actual%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %nombre del ordenador%
     IP: %dirección IP actual%
     Data: %fecha actual% Hora: %tiempo actual%
     ------->>> Banco Estadual do Cear <<-------
     BEC Agencia:%informaciones robadas%
     BEC Conta:%informaciones robadas%
     BEC Digito:%informaciones robadas%
     BEC Senha NET:%informaciones robadas%
     BEC Resposta:%informaciones robadas%

De: PC:%nombre del ordenador%
A: bl4d3xcool2@gmail.com
Asunto: Banco de Brasilia
Cuerpo del mensaje:
   • <Kl built in: %fecha actual%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %nombre del ordenador%
     IP: %dirección IP actual%
     Data: %fecha actual% Hora: %tiempo actual%
     ----------------> BRB <----------------
     BRB Usuario=%informaciones robadas%
     BRB Conta=%informaciones robadas%
     BRB Senha=%informaciones robadas%
     BRB Senha AE=%informaciones robadas%

De: PC:%nombre del ordenador%
A: bl4d3xcool2@gmail.com
Asunto: Nossa Caixa
Cuerpo del mensaje:
   • <Kl built in: %fecha actual%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %nombre del ordenador%
     IP: %dirección IP actual%
     Data: %fecha actual% Hora: %tiempo actual%
     -----------> Nossa Caixa <-------------
     NOSSACEF Agencia=%informaciones robadas%
     NOSSACEF Digito Agencia=%informaciones robadas%
     NOSSACEF Conta=%informaciones robadas%
     NOSSACEF Digito Conta=%informaciones robadas%
     NOSSACEF Ass Eletronica=%informaciones robadas%
     NOSSACEF Nome=%informaciones robadas%
     NOSSACEF Senha=%informaciones robadas%

De: PC:%nombre del ordenador%
A: bl4d3xcool2@gmail.com
Asunto: Real
Cuerpo del mensaje:
   • <Kl built in: %fecha actual%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %nombre del ordenador%
     IP: %dirección IP actual%
     Data: %fecha actual% Hora: %tiempo actual%
     ---------------> Real <----------------
     REAL Login=%informaciones robadas%
     REAL AG=%informaciones robadas%
     REAL Conta=%informaciones robadas%
     REAL Senha NET=%informaciones robadas%
     REAL Senha CC=%informaciones robadas%

De: PC:%nombre del ordenador%
A: bl4d3xcool2@gmail.com
Asunto: Santander
Cuerpo del mensaje:
   • <Kl built in: %fecha actual%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %nombre del ordenador%
     IP: %dirección IP actual%
     Data: %fecha actual% Hora: %tiempo actual%
     ------------> Santander <-------------
     SANTANDER User=%informaciones robadas%
     SANTANDER Agencia=%informaciones robadas%
     SANTANDER Conta=%informaciones robadas%
     SANTANDER 4 digitos=%informaciones robadas%
     SANTANDER Ass. Eletronica=%informaciones robadas%

De: PC:%nombre del ordenador%
A: bl4d3xcool2@gmail.com
Asunto: Banco do Nordeste
Cuerpo del mensaje:
   • <Kl built in: %fecha actual%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %nombre del ordenador%
     IP: %dirección IP actual%
     Data: %fecha actual% Hora: %tiempo actual%
     --------> Banco do Nordeste <---------
     NORDESTE Usuario:%informaciones robadas%
     NORDESTE Agencia:%informaciones robadas%
     NORDESTE Conta:%informaciones robadas%
     NORDESTE Digito:%informaciones robadas%
     NORDESTE S.Atend:%informaciones robadas%
     NORDESTE Cartao:%informaciones robadas%

De: PC:%nombre del ordenador%
A: bl4d3xcool2@gmail.com
Asunto: Banespa
Cuerpo del mensaje:
   • <Kl built in: %fecha actual%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %nombre del ordenador%
     IP: %dirección IP actual%
     Data: %fecha actual% Hora: %tiempo actual%
     -------------> Banespa <--------------
     BANESPA Usuario:%informaciones robadas%
     BANESPA Agencia:%informaciones robadas%
     BANESPA Conta:%informaciones robadas%
     BANESPA Digito:%informaciones robadas%
     BANESPA S.Atend:%informaciones robadas%
     BANESPA Cartao:%informaciones robadas%

De: PC:%nombre del ordenador%
A: bl4d3xcool2@gmail.com
Asunto: Banco Rural
Cuerpo del mensaje:
   • <Kl built in: %fecha actual%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %nombre del ordenador%
     IP: %dirección IP actual%
     Data: %fecha actual% Hora: %tiempo actual%
     -----------> Banco Rural <------------
     RURAL Usuario:%informaciones robadas%
     RURAL Senha:%informaciones robadas%
     RURAL Agencia:%informaciones robadas%
     RURAL Tipo:%informaciones robadas%
     RURAL Conta Corrente:%informaciones robadas%
     RURAL Digito:%informaciones robadas%

De: PC:%nombre del ordenador%
A: bl4d3xcool2@gmail.com
Asunto: Gerenciador Financeiro
Cuerpo del mensaje:
   • <Kl built in: %fecha actual%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %nombre del ordenador%
     IP: %dirección IP actual%
     Data: %fecha actual% Hora: %tiempo actual%
     ---------> Gerenciador Financeiro <---------
     GF CHAVE ACESSO:%informaciones robadas%
     GF SENHA ACESSO:%informaciones robadas%
     GF AGENCIA:%informaciones robadas%
     GF CONTA CORRENTE:%informaciones robadas%
     GF SENHA 8 DIG:%informaciones robadas%
     --------------------------------------------

De: PC:%nombre del ordenador%
A: bl4d3xcool2@gmail.com
Asunto: Ita
Cuerpo del mensaje:
   • <Kl built in: %fecha actual%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %nombre del ordenador%
     IP: %dirección IP actual%
     Data: %fecha actual% Hora: %tiempo actual%
     ---------------> Ita <---------------
     ITAU Agencia:%informaciones robadas%
     ITAU Conta:%informaciones robadas%
     ITAU Senha internet:%informaciones robadas%
     ITAU Senha do cartao:%informaciones robadas%
     ITAU 5 digitos do cartao:%informaciones robadas%
     ITAU Senha eletronica:%informaciones robadas%
     ITAU numero do portador:%informaciones robadas%
     ITAU nascimento:%informaciones robadas%
     PC:%informaciones robadas%

De: PC:%nombre del ordenador%
A: bl4d3xcool2@gmail.com
Asunto: Caixa
Cuerpo del mensaje:
   • <Kl built in: %fecha actual%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %nombre del ordenador%
     IP: %dirección IP actual%
     Data: %fecha actual% Hora: %tiempo actual%
     --------------> Caixa <----------------
     CAIXA Tipo=%informaciones robadas%
     CAIXA Agencia=%informaciones robadas%
     CAIXA Conta=%informaciones robadas%
     CAIXA S. Intermet=%informaciones robadas%
     CAIXA Ass. Eletronica= %informaciones robadas%

De: PC:%nombre del ordenador%
A: bl4d3xcool2@gmail.com
Asunto: BB
Cuerpo del mensaje:
   • <Kl built in: %fecha actual%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %nombre del ordenador%
     IP: %dirección IP actual%
     Data: %fecha actual% Hora: %tiempo actual%
     ---------------> BB <-----------------
     BB Titular:%informaciones robadas%
     BB Agencia:%informaciones robadas%
     BB Conta:%informaciones robadas%
     BB Senha A.Atendimento:%informaciones robadas%
     BB Senha Cartao:%informaciones robadas%
     <------------------------------------->

El mensaje de correo puede tener una de las siguientes formas:

Envio de mensajes Servidor MX:
Puede conectarse al servidor MX:
• smtp.isbt.com.br

Robo de informaciones – Después de visitar uno de los siguientes sitios web, se crea una rutina para generar ficheros de informe:
   • wwws1.bec.com.br
   • banknet.brb.com.br/brbBanknet
   • banknet.brb.com.br/banknet
   • wwws.nossacaixa.com.br/bemvindo.asp
   • nel.bnb.gov.br
   • empresarial.unibanco.com.br/index.asp
   • ibpf.unibanco.com.br/index.asp
   • santandernet.com.br
   • www.realsecureweb.com.br/scripts/engine_brpi.dll
   • www2.realsecureweb.com.br/scripts/engine_brpi.dll
   • https://wwwss.bradesco.com.br - Bradesco Internet Banking
   • https://wwwss.bradesco.com.br/scripts/ib2k1.dll/LOGIN
   • https://ww4.banrisul.com.br/bto/link/msie/btope0hw.asp

– Inicia una rutina de creación de ficheros log después de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • itau
   • bradesco
   • realemp
   • banespa
   • santander
   • unibanco
   • uniempresa
   • caixa
   • real
   • bbjuridica
   • bec
   • brb
   • nossacaixa
   • banrisul
   • nordeste
   • bancorural

– Captura:
    • Pulsaciones de teclado
    • Informaciones para iniciar sesión

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• STFK MutexXx

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• PEtite 2.2

Para una breve descripción vea el resumen aquí.

Descripción insertada por Iulia Diaconescu el Mon, 29 Aug 2005 11:18 (GMT+1)
Descripción actualizada por Iulia Diaconescu el Mon, 19 Sep 2005 14:03 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver