Réparer votre PC ?
Engagez l’expert
Nom:TR/Spy.Banker.551280
La date de la découverte:22/08/2006
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:551.280 Octets
Somme de contrôle MD5:1b7cfafcf8e139e15e9cd7d6318efaf9
Version VDF:6.35.00.68
Version IVDF:6.35.00.76 - mardi 27 juin 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Infostealer.Bancos
   •  Mcafee: PWS-Banker.gen.i trojan
   •  Kaspersky: Trojan-Spy.Win32.Banker.awa
   •  Sophos: Troj/Bnkmr-Fam
   •  Bitdefender: Generic.Banker.Delf.72804BDC


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il télécharge un fichier malveillant
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information

 Fichiers  Il supprime les fichiers suivants:
   • %temporary internet files%\Content.IE5\%toutes les sous-répertoires%\*.gif
   • %temporary internet files%\Content.IE5\%toutes les sous-répertoires%\*.htm
   • %temporary internet files%\Content.IE5\%toutes les sous-répertoires%\*.css



Le fichier suivant est créé:

%SYSDIR%\csrs.txt



Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://msnnovo.webcindario.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\msnmsnr.scr Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.DF.1


– L'emplacement est le suivant:
   • http://msnnovo.webcindario.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\RemotoMSN.txt

– L'emplacement est le suivant:
   • http://msnnovo.webcindario.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\sys.txt

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "boby"="%SYSDIR%\csrs.scr"

 Email Il n'a pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:


De:
L'expéditeur de cet e-mail est ce qui suit:
   • oso01@isbt.com.br


A:
Le destinataire de l'email est le suivant:
   • amor328@gmail.com


Sujet:
Le suivant:
   • Infect@.. -%le nom de l'ordinateur%



Corps:
–  Dans certains cas, il peut être vide.
Le corps de l'email est le suivant:
   • %l'information volée%



L'email ressemble à celui-ci:


 Envoie de messages Serveur MX:
Il n'emploi pas le serveur MX standard:
Il a la capacité de contacter le serveur MX:
   • smtp.isbt.com.br

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'

– Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • https://wwwss.bradesco.com.br
   • http://www.orktu.com
   • http://www.bradesco.com.br
   • http://www.equifax.com.br
   • http://www.santander.com.br
   • http://www.banespa.com.br
   • https://netbanking2.banespa.com.br/Inicial.asp
   • https://internetcaixa.caixa.gov.br/NASApp/SIIBC/index_verif.processa
   • https://internetcaixa.caixa.gov.br/NASApp/SIIBC/login_autentica.processa
   • https://internetcaixa.caixa.gov.br/NASApp/SIIBC/login_senha.processa
   • http://www.santander.com.br/portal/bsb/script/templates/GCMRequest.do?page=1010
   • http://www.itau.com.br
   • https://bankline.itau.com.br/GRIPNET/montamenu.exe
   • https://bankline.itau.com.br/GRIPNET/gracgi.exe
   • https://www2.bancobrasil.com.br/aapf/aai/principal
   • https://bradesconetempresa.com.br

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient une des sous chaînes de caractères suivantes dans l'URL.
   • wwws
   • Bradesco
   • banking
   • santandernet
   • netbanking

– Il capture:
    • Information du compte

–Des fenêtres avec des formulaires sont affichées, ainsi qu'ils sont montrés dans les images suivantes:



 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Monica Ghitun le mardi 22 août 2006
Description mise à jour par Andrei Ivanes le lundi 4 septembre 2006

Retour . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tous droits réservés.

Mon Compte

https:// Cet écran est crypté pour votre sécurité.