Description complète

Nom:	TR/Dldr.Delf.tp.1.A
La date de la découverte:	15/09/2005
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	385.536 Octets
Somme de contrôle MD5:	d905b68eea607dfd2fdc6bc21278abfd
Version VDF:	6.31.1.188

Général Les alias:
   • Mcafee: PWS-Banker.gen.i
   • Kaspersky: Trojan-Spy.Win32.Banker.acb

Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il supprime les fichiers suivants:
   • %temporary internet files%\*.*
   • %cookies%\*.*

Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %WINDIR%\Filespro\Tales\Local\barra2-PROGRESS.bmp;
      %WINDIR%\Filespro\Tales\Local\barra_brad.bmp;
      %WINDIR%\Filespro\Tales\Local\barra_progress.bmp;
      %WINDIR%\Filespro\Tales\Local\bt_confirma.bmp;
      %WINDIR%\Filespro\Tales\Local\bt_retornaCX.bmp;
      %WINDIR%\Filespro\Tales\Local\cadeado.bmp;
      %WINDIR%\Filespro\Tales\Local\campo_CX.bmp;
      %WINDIR%\Filespro\Tales\Local\caps.bmp;
      %WINDIR%\Filespro\Tales\Local\err_bb.bmp;
      %WINDIR%\Filespro\Tales\Local\logoPF.bmp;
      %WINDIR%\Filespro\Tales\Local\logo_BB.bmp;
      %WINDIR%\Filespro\Tales\Local\senha_AMARELA.bmp;
      %WINDIR%\Filespro\Tales\Local\senha_GER.bmp;
      %WINDIR%\Filespro\Tales\Local\teclado_CX.bmp;
      %WINDIR%\Filespro\Tales\Local\tela2_BB.bmp;
      %WINDIR%\Filespro\Tales\Local\tela_Bradesco_senha.bmp;
      %WINDIR%\Filespro\Tales\Local\tela_brad_sencartao.bmp;
      %WINDIR%\Filespro\Tales\Local\tela_caixa_assinatura.bmp;
      %WINDIR%\Filespro\Tales\Local\topo2.bmp;
      %WINDIR%\Filespro\Tales\Local\TV_PJ.bmp; %WINDIR%\winnavps\bb\1234.jar;
      %WINDIR%\winnavps\bb\banner012.jpg; %WINDIR%\winnavps\bb\banner03.gif;
      %WINDIR%\winnavps\bb\banner13.gif; %WINDIR%\winnavps\bb\barra_ger.jpg;
      %WINDIR%\winnavps\bb\barsep.gif; %WINDIR%\winnavps\bb\certificacao.gif;
      %WINDIR%\winnavps\bb\cópia de gerenciador.html;
      %WINDIR%\winnavps\bb\do.gif; %WINDIR%\winnavps\bb\erro_bb.html;
      %WINDIR%\winnavps\bb\erro_gerenciador.html;
      %WINDIR%\winnavps\bb\gerenciador.html;
      %WINDIR%\winnavps\bb\gerenciador2.html; %WINDIR%\winnavps\bb\imagem01.gif;
      %WINDIR%\winnavps\bb\imagem02.gif; %WINDIR%\winnavps\bb\imagem06.gif;
      %WINDIR%\winnavps\bb\imagem07.gif; %WINDIR%\winnavps\bb\imagem10.gif;
      %WINDIR%\winnavps\bb\imagem11.gif; %WINDIR%\winnavps\bb\imagem19.gif;
      %WINDIR%\winnavps\bb\imagem20.gif; %WINDIR%\winnavps\bb\imagem21.gif;
      %WINDIR%\winnavps\bb\imgentra.gif; %WINDIR%\winnavps\bb\imglimpa.gif;
      %WINDIR%\winnavps\bb\inicio.gif; %WINDIR%\winnavps\bb\lbg.gif;
      %WINDIR%\winnavps\bb\linha.gif; %WINDIR%\winnavps\bb\msg_1.gif;
      %WINDIR%\winnavps\bb\principal.html; %WINDIR%\winnavps\bb\prod3.gif;
      %WINDIR%\winnavps\bb\pt.gif; %WINDIR%\winnavps\bb\pt10.gif;
      %WINDIR%\winnavps\bb\pt11.gif; %WINDIR%\winnavps\bb\pt12.gif;
      %WINDIR%\winnavps\bb\pt13.gif; %WINDIR%\winnavps\bb\ptc1.gif;
      %WINDIR%\winnavps\bb\ptc2.gif; %WINDIR%\winnavps\bb\ptc3.gif;
      %WINDIR%\winnavps\bb\ptc4.gif; %WINDIR%\winnavps\bb\ptt.gif;
      %WINDIR%\winnavps\bb\rdc.gif; %WINDIR%\winnavps\bb\rdl.gif;
      %WINDIR%\winnavps\bb\sua.jpg; %WINDIR%\winnavps\bb\tcvirtu.gif;
      %WINDIR%\winnavps\bb\tracoh.gif; %WINDIR%\winnavps\bb\tracoh2.gif;
      %WINDIR%\winnavps\bb\tracoh_1.gif; %WINDIR%\winnavps\bb\tracoh_1_2.gif;
      %WINDIR%\winnavps\bb\tracoh_1_3.gif; %WINDIR%\winnavps\bb\tracov.gif;
      %WINDIR%\winnavps\bb\tracov2.gif; %WINDIR%\winnavps\bb\tracov3.gif;
      %WINDIR%\winnavps\bb\tracov_1.gif; %WINDIR%\winnavps\bb\tracov_1_2.gif;
      %le dossier d'exécution du malware%\ibb011.cfg; %le dossier
      d'exécution du malware%\tsuname2.txt; %le dossier d'exécution du
      malware%\brad11.cfg; %le dossier d'exécution du
      malware%\tsuname4.txt

Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/barra2-PROGRESS.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\barra2-PROGRESS.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/barra_brad.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\barra_brad.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/barra_progress.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\barra_progress.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/bt_confirma.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\bt_confirma.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/bt_retornaCX.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\bt_retornaCX.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/cadeado.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\cadeado.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/campo_CX.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\campo_CX.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/caps.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\caps.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/err_bb.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\err_bb.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/logoPF.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\logoPF.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/logo_BB.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\logo_BB.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/senha_AMARELA.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\senha_AMARELA.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/senha_GER.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\senha_GER.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/teclado_CX.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\teclado_CX.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/tela2_BB.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\tela2_BB.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/tela_Bradesco_senha.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\tela_Bradesco_senha.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/tela_brad_sencartao.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\tela_brad_sencartao.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/tela_caixa_assinatura.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\tela_caixa_assinatura.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/topo2.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\topo2.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/TV_PJ.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\Filespro\Tales\Local\TV_PJ.zip

– L'emplacement est le suivant:
   • http://**********.vilabol.uol.com.br/qqq.html
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\winnavps\bbb.bck

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "irwftp"="%SYSDIR%\swshost.exe"

Email Il n'a pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:

Le format des emails:

De: "%le nom de l'ordinateur%" <%le nom de l'ordinateur%edilene.bastos@isbt.com.br>
A: edilene.bastos@isbt.com.br
Sujet: Confirmei-ROYALTIES_BLACK
Le corps:
   • %la date courante% - %l'heure courante%
      %le nom de l'ordinateur%

De: "%le nom de l'ordinateur%" <%le nom de l'ordinateur%astra22gsi@isbt.com.br>
A: astra22gsi@isbt.com.br
Sujet: Confirmei-ROYALTIES_BLACK
Le corps:
   • %la date courante% - %l'heure courante%
      %le nom de l'ordinateur%

De: "%le nom de l'ordinateur%" <%le nom de l'ordinateur%edilene.bastos@isbt.com.br>
A: edilene.bastos@isbt.com.br
Sujet: Skol_p-ROYALTIES_BLACK
Le corps:
   • %la date courante% - %l'heure courante%
      %le nom de l'ordinateur%
L'attachement:
   • tsuname4.txt

De: "%le nom de l'ordinateur%" <%le nom de l'ordinateur%astra22gsi@isbt.com.br>
A: astra22gsi@isbt.com.br
Sujet: Skol_p-ROYALTIES_BLACK
Le corps:
   • %la date courante% - %l'heure courante%
      %le nom de l'ordinateur%
L'attachement:
   • tsuname4.txt

De: "%le nom de l'ordinateur%" <%le nom de l'ordinateur%edilene.bastos@isbt.com.br>
A: edilene.bastos@isbt.com.br
Sujet: Coca-cola-ROYALTIES_BLACK
Le corps:
   • %la date courante% - %l'heure courante%
      %le nom de l'ordinateur%
L'attachement:
   • tsuname2.txt

De: "%le nom de l'ordinateur%" <%le nom de l'ordinateur%astra22gsi@isbt.com.br>
A: astra22gsi@isbt.com.br
Sujet: Coca-cola-ROYALTIES_BLACK
Le corps:
   • %la date courante% - %l'heure courante%
      %le nom de l'ordinateur%
L'attachement:
   • tsuname2.txt

L'email ressemble à celui-ci:

Envoie de messages Serveur MX:
Il a la capacité de contacter le serveur MX:
• smtp.isbt.com.br

Vol d'informations – Une routine de journalisation est commencé après qu'un site web soit visité.
   • https://www2.bancobrasil.com.br/aapf/aai/login.pbk

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient la sous chaîne de caractères suivante dans son URL:
   • http://www.bradesco.com.br

– Il capture:
    • Frappes de touche
    • Information du compte

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• ASPack 2.12

Description insérée par Iulia Diaconescu le vendredi 16 septembre 2005
Description mise à jour par Iulia Diaconescu le mardi 20 septembre 2005

Retour . . . .

Protection avancée pour votre PC

Produits gratuits

Les plus populaires

Tous les produits

Offres groupées

Stations de travail

Server

Offres groupées

Mail Gateways

Web Gateways

Plateformes collaboratives

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils