Description complète

Nume:	TR/Dldr.Delf.tp.1.A
Descoperit pe data de:	15/09/2005
Tip:	Troian
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	385.536 Bytes
MD5:	d905b68eea607dfd2fdc6bc21278abfd
Versiune VDF:	6.31.1.188

General Alias:
   • Mcafee: PWS-Banker.gen.i
   • Kaspersky: Trojan-Spy.Win32.Banker.acb

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Utilizeaza propriul motor de email
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii

Fisiere Sterge urmatoarele fisiere:
   • %temporary internet files%\*.*
   • %cookies%\*.*

Sunt create fisierele:

– Fisiere inofensive:
   • %WINDIR%\Filespro\Tales\Local\barra2-PROGRESS.bmp;
      %WINDIR%\Filespro\Tales\Local\barra_brad.bmp;
      %WINDIR%\Filespro\Tales\Local\barra_progress.bmp;
      %WINDIR%\Filespro\Tales\Local\bt_confirma.bmp;
      %WINDIR%\Filespro\Tales\Local\bt_retornaCX.bmp;
      %WINDIR%\Filespro\Tales\Local\cadeado.bmp;
      %WINDIR%\Filespro\Tales\Local\campo_CX.bmp;
      %WINDIR%\Filespro\Tales\Local\caps.bmp;
      %WINDIR%\Filespro\Tales\Local\err_bb.bmp;
      %WINDIR%\Filespro\Tales\Local\logoPF.bmp;
      %WINDIR%\Filespro\Tales\Local\logo_BB.bmp;
      %WINDIR%\Filespro\Tales\Local\senha_AMARELA.bmp;
      %WINDIR%\Filespro\Tales\Local\senha_GER.bmp;
      %WINDIR%\Filespro\Tales\Local\teclado_CX.bmp;
      %WINDIR%\Filespro\Tales\Local\tela2_BB.bmp;
      %WINDIR%\Filespro\Tales\Local\tela_Bradesco_senha.bmp;
      %WINDIR%\Filespro\Tales\Local\tela_brad_sencartao.bmp;
      %WINDIR%\Filespro\Tales\Local\tela_caixa_assinatura.bmp;
      %WINDIR%\Filespro\Tales\Local\topo2.bmp;
      %WINDIR%\Filespro\Tales\Local\TV_PJ.bmp; %WINDIR%\winnavps\bb\1234.jar;
      %WINDIR%\winnavps\bb\banner012.jpg; %WINDIR%\winnavps\bb\banner03.gif;
      %WINDIR%\winnavps\bb\banner13.gif; %WINDIR%\winnavps\bb\barra_ger.jpg;
      %WINDIR%\winnavps\bb\barsep.gif; %WINDIR%\winnavps\bb\certificacao.gif;
      %WINDIR%\winnavps\bb\cópia de gerenciador.html;
      %WINDIR%\winnavps\bb\do.gif; %WINDIR%\winnavps\bb\erro_bb.html;
      %WINDIR%\winnavps\bb\erro_gerenciador.html;
      %WINDIR%\winnavps\bb\gerenciador.html;
      %WINDIR%\winnavps\bb\gerenciador2.html; %WINDIR%\winnavps\bb\imagem01.gif;
      %WINDIR%\winnavps\bb\imagem02.gif; %WINDIR%\winnavps\bb\imagem06.gif;
      %WINDIR%\winnavps\bb\imagem07.gif; %WINDIR%\winnavps\bb\imagem10.gif;
      %WINDIR%\winnavps\bb\imagem11.gif; %WINDIR%\winnavps\bb\imagem19.gif;
      %WINDIR%\winnavps\bb\imagem20.gif; %WINDIR%\winnavps\bb\imagem21.gif;
      %WINDIR%\winnavps\bb\imgentra.gif; %WINDIR%\winnavps\bb\imglimpa.gif;
      %WINDIR%\winnavps\bb\inicio.gif; %WINDIR%\winnavps\bb\lbg.gif;
      %WINDIR%\winnavps\bb\linha.gif; %WINDIR%\winnavps\bb\msg_1.gif;
      %WINDIR%\winnavps\bb\principal.html; %WINDIR%\winnavps\bb\prod3.gif;
      %WINDIR%\winnavps\bb\pt.gif; %WINDIR%\winnavps\bb\pt10.gif;
      %WINDIR%\winnavps\bb\pt11.gif; %WINDIR%\winnavps\bb\pt12.gif;
      %WINDIR%\winnavps\bb\pt13.gif; %WINDIR%\winnavps\bb\ptc1.gif;
      %WINDIR%\winnavps\bb\ptc2.gif; %WINDIR%\winnavps\bb\ptc3.gif;
      %WINDIR%\winnavps\bb\ptc4.gif; %WINDIR%\winnavps\bb\ptt.gif;
      %WINDIR%\winnavps\bb\rdc.gif; %WINDIR%\winnavps\bb\rdl.gif;
      %WINDIR%\winnavps\bb\sua.jpg; %WINDIR%\winnavps\bb\tcvirtu.gif;
      %WINDIR%\winnavps\bb\tracoh.gif; %WINDIR%\winnavps\bb\tracoh2.gif;
      %WINDIR%\winnavps\bb\tracoh_1.gif; %WINDIR%\winnavps\bb\tracoh_1_2.gif;
      %WINDIR%\winnavps\bb\tracoh_1_3.gif; %WINDIR%\winnavps\bb\tracov.gif;
      %WINDIR%\winnavps\bb\tracov2.gif; %WINDIR%\winnavps\bb\tracov3.gif;
      %WINDIR%\winnavps\bb\tracov_1.gif; %WINDIR%\winnavps\bb\tracov_1_2.gif;
      %directorul de activare malware%\ibb011.cfg; %directorul de
      activare malware%\tsuname2.txt; %directorul de activare
      malware%\brad11.cfg; %directorul de activare
      malware%\tsuname4.txt

Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/barra2-PROGRESS.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\barra2-PROGRESS.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/barra_brad.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\barra_brad.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/barra_progress.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\barra_progress.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/bt_confirma.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\bt_confirma.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/bt_retornaCX.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\bt_retornaCX.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/cadeado.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\cadeado.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/campo_CX.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\campo_CX.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/caps.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\caps.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/err_bb.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\err_bb.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/logoPF.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\logoPF.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/logo_BB.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\logo_BB.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/senha_AMARELA.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\senha_AMARELA.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/senha_GER.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\senha_GER.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/teclado_CX.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\teclado_CX.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/tela2_BB.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\tela2_BB.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/tela_Bradesco_senha.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\tela_Bradesco_senha.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/tela_brad_sencartao.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\tela_brad_sencartao.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/tela_caixa_assinatura.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\tela_caixa_assinatura.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/topo2.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\topo2.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/TV_PJ.html
Fisierul este stocat pe hard disc la: %WINDIR%\Filespro\Tales\Local\TV_PJ.zip

– Adresa este urmatoarea:
   • http://**********.vilabol.uol.com.br/qqq.html
Fisierul este stocat pe hard disc la: %WINDIR%\winnavps\bbb.bck

Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "irwftp"="%SYSDIR%\swshost.exe"

Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:

Formatul email-urilor:

De la: "%numele computerului%" <%numele computerului%edilene.bastos@isbt.com.br>
Catre: edilene.bastos@isbt.com.br
Subiect: Confirmei-ROYALTIES_BLACK
Corp mesaj:
   • %data curenta% - %ora curenta%
      %numele computerului%

De la: "%numele computerului%" <%numele computerului%astra22gsi@isbt.com.br>
Catre: astra22gsi@isbt.com.br
Subiect: Confirmei-ROYALTIES_BLACK
Corp mesaj:
   • %data curenta% - %ora curenta%
      %numele computerului%

De la: "%numele computerului%" <%numele computerului%edilene.bastos@isbt.com.br>
Catre: edilene.bastos@isbt.com.br
Subiect: Skol_p-ROYALTIES_BLACK
Corp mesaj:
   • %data curenta% - %ora curenta%
      %numele computerului%
Atasament:
   • tsuname4.txt

De la: "%numele computerului%" <%numele computerului%astra22gsi@isbt.com.br>
Catre: astra22gsi@isbt.com.br
Subiect: Skol_p-ROYALTIES_BLACK
Corp mesaj:
   • %data curenta% - %ora curenta%
      %numele computerului%
Atasament:
   • tsuname4.txt

De la: "%numele computerului%" <%numele computerului%edilene.bastos@isbt.com.br>
Catre: edilene.bastos@isbt.com.br
Subiect: Coca-cola-ROYALTIES_BLACK
Corp mesaj:
   • %data curenta% - %ora curenta%
      %numele computerului%
Atasament:
   • tsuname2.txt

De la: "%numele computerului%" <%numele computerului%astra22gsi@isbt.com.br>
Catre: astra22gsi@isbt.com.br
Subiect: Coca-cola-ROYALTIES_BLACK
Corp mesaj:
   • %data curenta% - %ora curenta%
      %numele computerului%
Atasament:
   • tsuname2.txt

Email-ul arata astfel:

Email Server MX:
Se poate conecta la serverul MX:
• smtp.isbt.com.br

Furt de informatii – O rutina de logare este pornita dupa ce un site este vizitat:
   • https://www2.bancobrasil.com.br/aapf/aai/login.pbk

– Este pornita o rutina de logare dupa ce viziteaza un site care contine urmatorul sir de caractere in URL:
   • http://www.bradesco.com.br

– Face captura la:
    • Datele introduse de la tastatura
    • Informatii de logare

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Delphi.

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
• ASPack 2.12

Description insérée par Iulia Diaconescu le vendredi 16 septembre 2005
Description mise à jour par Iulia Diaconescu le mardi 20 septembre 2005

Retour . . . .

Protection avancée pour votre PC

Produits gratuits

Les plus populaires

Tous les produits

Offres groupées

Stations de travail

Server

Offres groupées

Mail Gateways

Web Gateways

Plateformes collaboratives

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils