Nume:TR/Spy.Banke.any.89
Descoperit pe data de:12/07/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:822.904 Bytes
MD5:48cbfa5f08bab42cb79bdefc7795ff30
Versiune VDF:6.35.00.154
Versiune IVDF:6.35.00.193 - jeudi 20 juillet 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Banker.ark
   •  Sophos: Troj/Bnkmr-Fam
   •  VirusBuster: TrojanSpy.Banker.DWK


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %ALLUSERSPROFILE%\start menu\programs\startup\amsn.exe

 Registrii sistemului Se adauga in registrii sistemului:

– HKCR\Software\Microsoft\Windows\CurrentVersion\Run
   • "amsn"="%WINDIR%\System32%WINDIR%\Config\amsn.exe"

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


Formatul email-urilor:
De la: INFECTADO &ltroger.capellari@gmail.com>
Catre: louco.bank@gmail.com <louco.bank@gmail.com>
Subiect: INFECTADO%numele computerului%
Corp mesaj:
   • [Infectado OnLine]..:
     Maquina.............: %numele computerului%
     IP..................: %IP-ul curent%
     Data................: %data curenta%
     Hora................: %ora curenta%
     Verso do Windows...: %sistem de operare% (version %versiune Windows%)
     |'=========SOURCE BY ROJAO===========
     .
De la: BANESPA <BANESPA>
Catre: bianca3007@gmail.com <bianca3007@gmail.com>
Subiect: CHEGOU C/C %numele computerului%
Corp mesaj:
   • '
     [Infectado OnLine]..:
     Maquina.............: %numele computerului%
     IP..................: %IP-ul curent%
     Data................: %data curenta%
     Hora................: %ora curenta%
     Verso do Windows...: %sistem de operare% (version %versiune Windows%)
     |'=========SOURCE BY ROJAO===========
     BANESPA
     !
     ![Ag]:...........%informatiile sustrase%
     ![Cont]:.........%informatiile sustrase%
     ![Nome Acesso]:..%informatiile sustrase%
     ![Sen]:..........%informatiile sustrase%
     ![Ass E]:........%informatiile sustrase%
     !
     !-=-=-=-=-=-|_PaPaRaZz0_|-=-=-=-=-=-
De la: UNIBANCO <UNIBANCO>
Catre: bianca3007@gmail.com <bianca3007@gmail.com>
Subiect: CHEGOU C/C %numele computerului%
Corp mesaj:
   • '
     [Infectado OnLine]..:
     Maquina.............: %numele computerului%
     IP..................: %IP-ul curent%
     Data................: %data curenta%
     Hora................: %ora curenta%
     Versão do Windows...: %sistem de operare% (version %versiune Windows%)
     |'=========SOURCE BY ROJAO===========
     Unibanco nem parece Banco :D
     !
     [Agên].........: %informatiile sustrase%
     [Con-Dig]......: %informatiile sustrase%
     [SeCont].......: %informatiile sustrase%
     [AssElet]......: %informatiile sustrase%
     [NascimE]......: %informatiile sustrase%
     
     !=========SOURCE BY ROJAO==========



Email-ul poate arata ca unul din urmatoarele:




 Email Server MX:
Se poate conecta la serverul MX:
   • gsmtp185.google.com

 Furt de informatii – O rutina de logare este pornita dupa ce unul din urmatoarele site-uri este vizitat:
   • http://www.banespa.com.br/
   • http://www.unibanco.com.br/

– Face captura la:
    • Informatii de logare

–Sunt afisate ferestre cu formulare, asa cum arata imaginile de mai jos:







 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • fataL MuTexXx

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Ionut Slaveanu le mercredi 30 août 2006
Description mise à jour par Andrei Ivanes le jeudi 14 septembre 2006

Retour . . . .