TR/Banload.XY.2 - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/Banload.XY.2
Descubierto:	20/01/2006
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	14.438 Bytes
Suma de control MD5:	7cd461b1d4b7c8b04828bc9303be9c19
Versión del VDF:	6.33.01.34

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Kaspersky: Trojan-Spy.Win32.Delf.or

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro
   • Roba informaciones

Inmediatamente después de su ejecución, muestra la siguiente información:

Ficheros Elimina el siguiente fichero:
   • %SYSDIR%\winte.html

Crea los siguientes ficheros:

– %directorio donde se ejecuta el programa viral%\sui.dll
– %directorio donde se ejecuta el programa viral%\suact\004.act Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • 004.act

– %directorio donde se ejecuta el programa viral%\suact\011.act Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • 011.act

– %directorio donde se ejecuta el programa viral%\suact\013.act Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • 013.act

– %directorio donde se ejecuta el programa viral%\suact\015.act Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • 015.act

– %directorio donde se ejecuta el programa viral%\wint.ini
– %SYSDIR%\winte.html
– %directorio donde se ejecuta el programa viral%\suskn\004.sns
– %directorio donde se ejecuta el programa viral%\suskn\011.sns
– %directorio donde se ejecuta el programa viral%\suskn\013.sns
– %directorio donde se ejecuta el programa viral%\suskn\015.sns
– %SYSDIR%\ierror.rep Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • [%fecha actual%][%hora actual%]#PROGRAMM INSTALLED!#


– %directorio donde se ejecuta el programa viral%\sei.dll
– %directorio donde se ejecuta el programa viral%\sucontr\UVER.ctr Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • 1.12

Registro Registra un objeto BHO (browser helper object), añadiendo la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}]

Añade las siguientes claves al registro:

– [HKCR\CLSID\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}\InprocServer32]
   • @="%directorio donde se ejecuta el programa viral%\msupdate.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}\ProgID]
   • @="msupdate.Microsoft Update Service"

– [HKCR\CLSID\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}]
   • @="NETWORK SERVICE"

– [HKCR\msupdate.Microsoft Update Service]
   • @="NETWORK SERVICE"

– [HKCR\msupdate.Microsoft Update Service\Clsid]
   • @="{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}"

Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://oxygunn.com/aerodrom/**********
   • http://oxygunn.com/aerodrom/**********
   • http://oxygunn.com/aerodrom/**********

De esta forma puede enviar informaciones. Esto se realiza mediante el método HTTP POST, empleando un script PHP.

Envía informaciones acerca de:
    • Estado actual del programa viral
    • Las informaciones recolectadas, descritas en la sección
    • Hora del sistema

Robo de informaciones Intenta robar las siguientes informaciones:

– Después de visitar uno de los siguientes sitios web, se crea una rutina para generar ficheros de informe:
   • barclays.co.uk
   • hsbc.co.uk
   • olb2.nationet.com
   • deutsche-bank.de
   • nwolb.com
   • co-operativebank.co.uk
   • my.if.com
   • smile.co.uk
   • cahoot.com
   • webbank.openplan.co.uk
   • anbusiness.com
   • https://olb2.nationet.com/MyAccounts/
   • https://olb2.nationet.com
   • https://ibank.barclays.co.uk/olb/q/LoginPasscode
   • https://ibank.barclays.co.uk/olb/q/LoginMember.do
   • https://welcome6.co-operativebank.co.uk/CBIBSWeb/loginSpi.do
   • https://welcome6.co-operativebank.co.uk/CBIBSWeb/start.do

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• ASPack

Para una breve descripción vea el resumen aquí.

Descripción insertada por Iulia Diaconescu el Mon, 20 Mar 2006 17:11 (GMT+1)
Descripción actualizada por Iulia Diaconescu el Tue, 21 Mar 2006 11:06 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver