Nom:TR/Spy.Bancodor.AB
La date de la découverte:12/04/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:41.472 Octets
Somme de contrôle MD5:62417a81023a5ae1dfce61709824d49b
Version VDF:6.34.00.176

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Backdoor.Win32.Bancodor.ab
   •  TrendMicro: TSPY_AGENT.BRF
   •  Bitdefender: Trojan.Spy.Bancodor.A


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il crée des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %PROGRAM FILES%\Common Files\System\lsass.exe



Les fichiers suivants sont créés:

– Des fichiers qui peuvent être supprimés après:
   • C:\bkup.reg
   • %SYSDIR%\divx.ini
   • %SYSDIR%\%chaîne de caractères aléatoire%.tmp.log

%SYSDIR%\divx.ini Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %l'information volée%

%SYSDIR%\winaupd.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.Bancodo.AB.2

%SYSDIR%\xvid.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.Bancodo.AB.4

%SYSDIR%\nUn.b Contient des paramètres employé par le malware

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • system = %PROGRAM FILES%\Common Files\system\lsass.exe



Les clés de registre suivantes, y compris toutes les valeurs et les sous-clés, sont enlevées.
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
   • [HKCU\Software\Microsoft\Internet Explorer\TypedURLs]
   • [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]



Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %SYSDIR%\userinit.exe = %SYSDIR%\userinit.exe:*:Enabled:Userinit



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows]
   La nouvelle valeur:
   • System =
   • Shell = Explorer.exe

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   L'ancienne valeur:
   • Start = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • Start = 2

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
   L'ancienne valeur:
   • ServiceDll = %SYSDIR%\wuauserv.dll
   La nouvelle valeur:
   • ServiceDll = %SYSDIR%\winaupd.dll

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • SFCDisable = 0
   La nouvelle valeur:
   • SFCDisable = ffffff9d
   • SFCScan = 0

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Internet Explorer]
   La nouvelle valeur:
   • SearchURL =

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   La nouvelle valeur:
   • Default_Search_URL =
   • Search Page = www.microsoft.com/isapi/redir.dllprd = ie&ar = iesearch
   • Search Bar =
   • SearchURL =
   • Window_Placement =

– [HKCU\Software\Microsoft\Internet Explorer\Search]
   La nouvelle valeur:
   • SearchAssistant =

– [HKCU\Software\Micrsoft\Internet Explorer\Toolbar\WebBrowser]
   La nouvelle valeur:
   • ITBarLayout =

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search]
   La nouvelle valeur:
   • SearchAssistant = ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
   • CustomizeSearch = ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
   La nouvelle valeur:
   • NavigationFailure = res://shdoclc.dll/navcancl.htm
   • DesktopItemNavigationFailure = res://shdoclc.dll/navcancl.htm
   • NavigationCanceled = res://shdoclc.dll/navcancl.htm
   • OfflineInformation = res://shdoclc.dll/offcancl.htm
   • blank = res://mshtml.dll/blank.htm
   • PostNotCached = res://mshtml.dll/repost.htm
   • mozilla = res://mshtml.dll/about.moz

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   La nouvelle valeur:
   • Default_Page_URL = about:blank
   • Default_Search_URL = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Search Page = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Local Page =
   • Start Page = about:blank

– [HKU\.Default\Software\Microsoft\Internet Explorer]
   La nouvelle valeur:
   • SearchURL =

– [HKU\.Default\Software\Microsoft\Internet Explorer\Main]
   La nouvelle valeur:
   • Search Page = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Default_Search_URL =
   • Search Bar =
   • Local Page =
   • Start Page =

– [HKU\.Default\Software\Microsoft\Internet Explorer\Search]
   La nouvelle valeur:
   • SearchAssistant =

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   La nouvelle valeur:
   • Check_Associations = yes

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   La nouvelle valeur:
   • NoSaveSettings = 0

– [HKCU\Software\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Policies\Microsoft\
   Internet Explorer\Control Panel]
   La nouvelle valeur:
   • Check_If_Default = 0

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   La nouvelle valeur:
   • Check_If_Default = 0

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • SeparateProcess = 0

 Arrêt de processus: La liste des processus qui sont terminés:
   • WINLDRA.EXE; NETSCAPE.EXE; OPERA.EXE; FIREFOX.EXE; MOZILLA.EXE;
      M00.EXE; WINTBPX.EXE; SWCHOST.EXE; SVOHOST.EXE; SVC.EXE; WINSOCK.EXE;
      SPOOLS.EXE; KERNELS32.EXE; mwfibpx.exe; nod32kui.exe; mcupdate.exe;
      mw1hel~1.exe; realsched.exe; tbon.exe; pucxyloo.exe; mouse32a.exe;
      winupdates.exe; backweb-; qttask.exe; mediagateway.exe; sox1.exe;
      shstat.exe; SpyAxe.exe; xcommsvr.exe; rwnt.exe; shost.exe;
      MouseElf.exe; aimexdll.exe; batserv2.exe; Elogerr.exe; sysc.exe;
      stopads.exe; istsvc.exe; uwfx5.exe; dazzler.exe; secure.exe;
      spoolsrv32.exe; ibm00001.exe; kernels64.exe; driver64.exe;
      paytime.exe; type32.exe; mediapipe.exe; adduz32.exe; itbill.exe;
      spysheriff.exe; apifl.exe; drsmartloadb.exe; gcasserv.exe; mpp2pl.exe;
      unspypc.exe; realsched.exe; isstart.exe; logitray.exe; winstall.exe;
      statusclient.exe; mpcsvc.exe; backorif.exe; NopeZ.exe; usrprmpt.exe;
      netnw.exe; hpbpsttp.exe; nvarem.exe; apifl.exe; UnSpyPC.exe


 Porte dérobée Serveur de contact:
Le suivant:
   • http://www.southsea.cc/news/**********

En conséquence il peut envoyer de l'information. En plus, il répète la connexion périodiquement. Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script PHP.
Le réponse du serveur est écrit dans le fichier: %SYSDIR%\xvid.ini


Il envoie de l'information au sujet de:
    • Les mots de passe en antémémoire:
    • Crée de fichiers de journalisation.
    • Les variables d'environnement
    • Le statut courant du malware
    • Information sur des processus courants
    • Les informations rassemblées, décrites dans la section

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Une routine de journalisation est commencé après qu'un site web soit visité.
   • %tout site web qui contient une formulaire d'identification%

– Il capture:
    • Fenêtre d'information
    • Information du compte

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\xvid.dll

    Nom du processus :
   • %tous les procès redémarrés après le Malware est actif en
      mémoire%


 Informations divers Mutex:
Il crée le Mutex suivant:
   • _Toolbar_Class_32


Modification du fichier:
Pour arrêter la fonction Windows File Protection (WFP) il y a la possibilité de modifier le fichier sfc_os.dll à Offset 0000E2B8. Avec Windows File Protection on envisage d’éluder une des problèmes connus de la DLL Inkonstinenz.

 La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.


Il cache les suivants:
– Son propre processus

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Andrei Gherman le jeudi 13 avril 2006
Description mise à jour par Andrei Gherman le jeudi 13 avril 2006

Retour . . . .