TR/Spy.Banker.adi - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/Spy.Banker.adi
Descubierto:	14/09/2005
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	497.959 Bytes
Suma de control MD5:	eb3e49ef05fe53fed1d626030e2803bc
Versión del VDF:	6.32.0.6

General Alias:
   • Mcafee: PWS-Banker.gen.bb
   • Kaspersky: Trojan-Spy.Win32.Banker.adi

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %WINDIR%\svchosts.exe

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "svchosts.exe"="%WINDIR%\svchosts.exe"

Correo electrónico No tiene rutina propia de propagación, pero puede enviar mensajes de correo. Lo más probable es que el destinatario sea el autor del virus. Las características están descritas a continuación:

El diseño de los mensajes de correo:

De: "Opa! mais uma infectado - Engenharia MC" <infected@isbt.com.br>
A: deadskinmask.666@hotmail.com
Asunto: %nombre del ordenador% INFECTADO
Cuerpo del mensaje:
   • Infectado

De: contas@isbt.com.br
A: deadskinmask.666@hotmail.com
Asunto: INFO AQUI
Cuerpo del mensaje:
   • Infectado

     ------- %nombre del banco% -------
     %informaciones robadas%

De: contas@isbt.com.br
A: deadskinmask.666@hotmail.com
Asunto: INFO AQUI
Cuerpo del mensaje:
   • Infectado

     ----------->>> %banc name% <<<----------------
     %informaciones robadas%

El mensaje de correo puede tener una de las siguientes formas:

Envio de mensajes Puede conectarse a uno de los servidores MX:
   • smtp.isbt.com.br
   • smtp.sbt.terra.com.br
   • smtp.poa.terra.com.br

Robo de informaciones – Después de visitar uno de los siguientes sitios web, se crea una rutina para generar ficheros de informe:
   • https://wwwss.bradesco.com.br/
   • empresarial.unibanco.com.br/index.asp
   • ibpf.unibanco.com.br/index.asp

– Inicia una rutina de creación de ficheros log después de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • bradesco.com.br/scripts
   • bradesco
   • uniba
   • caixa

– Captura:
    • Pulsaciones de teclado
    • Informaciones para iniciar sesión

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• STFK MutexXx

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• Petite 2.2

Para una breve descripción vea el resumen aquí.

Descripción insertada por Iulia Diaconescu el Wed, 14 Sep 2005 16:42 (GMT+1)
Descripción actualizada por Iulia Diaconescu el Mon, 19 Sep 2005 10:42 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver