Nom:TR/Dldr.Banker.GA.1
La date de la découverte:25/07/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:42.496 Octets
Somme de contrôle MD5:06bf129bba13d220406a6ce5739d63a1
Version VDF:6.35.01.000
Version IVDF:6.35.01.000

 Général Les alias:
   •  Symantec: Infostealer.Snifula
   •  Kaspersky: Trojan-Spy.Win32.Small.gf
   •  Sophos: Troj/FireSpy-A


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il crée des fichiers
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\138762763.exe



Une section est ajoutée à un fichier.
– A: %APPDATA%\Mozilla\Firefox\Profiles\%chaîne de caractères aléatoire de huit digits%.default\extensions.ini Avec le contenu suivant:
   • [ExtensionDirs]
     Extension0=%APPDATA%\Mozilla\Firefox\Profiles\5yxkpuhr.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\install.rdf




Les fichiers suivants sont créés:

%PROGRAM FILES%\Mozilla Firefox\Components\AppInterConn.xpt
%PROGRAM FILES%\Mozilla Firefox\Components\AppInterConn.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Agent.SN.4

– %APPDATA%\Mozilla\Firefox\Profiles\%chaîne de caractères aléatoire de huit digits%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\install.rdf
– %APPDATA%\Mozilla\Firefox\Profiles\%chaîne de caractères aléatoire de huit digits%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\chrome.manifest
– %APPDATA%\Mozilla\Firefox\Profiles\%chaîne de caractères aléatoire de huit digits%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\chrome\numberedlinks.jar
– %APPDATA%\Mozilla\Firefox\Profiles\%chaîne de caractères aléatoire de huit digits%.default\chrome\overlayinfo\browser\content\overlays.rdf
– %APPDATA%\Mozilla\Firefox\Profiles\%chaîne de caractères aléatoire de huit digits%.default\chrome\chrome.rdf

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "stup"="%SYSDIR%\138762763.exe"



La clé de registre suivante est ajoutée:

– HKCU\Software\keys
   • "k2"=%numéro hexadécimal%
   • "k1"=%numéro hexadécimal%

 Porte dérobée Serveur de contact:
Le suivant:
   • 81.95.147.107/cgi-bin/**********

Ceci est fait par l'intermédiaire de la requête HTTP GET du script CGI.


Il envoie de l'information au sujet de:
    • Les informations rassemblées, décrites dans la section

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'

– Une routine de journalisation est commencé après qu'un site web soit visité.
   • %tout site web qui contient une formulaire d'identification%

– Il capture:
    • Information du compte

 Informations divers Mutex:
Il crée le Mutex suivant:
   • kjhskdhkjshfd_Mutex

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Bogdan Iliuta le vendredi 28 juillet 2006
Description mise à jour par Bogdan Iliuta le lundi 31 juillet 2006

Retour . . . .