Description complète

Nom:	TR/Banker.Delf.EC
La date de la découverte:	16/02/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	1.560.472 Octets
Somme de contrôle MD5:	6a154e0A90f45202ec2d42e9a71a1b03
Version VDF:	6.33.01.01 - jeudi 16 février 2006
Version IVDF:	6.33.01.01 - jeudi 16 février 2006

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

L'alias:
   • TrendMicro: TSPY_BANKER.EZT

Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\AntiVirus.scr
   • %SYSDIR%\smsss.exe
   • %ALLUSERSPROFILE%\start menu\programs\startup\AntiVirus.scr

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "AntiVirus"="%SYSDIR%\AntiVirus.scr"

La clé de registre suivante est ajoutée:

– HKCU\SOFTWARE\MICROSOFT\MS SETUP (ACME)\

Email Il n'a pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:

De:
L'adresse de l'expéditeur est falsifiée.
L'expéditeur de cet e-mail est un des ceux qui suivent:
   • "B.R.A.V.O" <boizao2006@yahoo.com.br>
   • pau 100 mil

A:
– L'adresse email suivante:
   • gracelltda@gmail.com

Sujet:
Un des suivants:
   • $DINHEIRO$
   • $DINHEIRO$%name of the bank%
   • ESSE =?ISO-8859-1?Q?=C9?= FORTE= %name of the computer%

Corps:

   • %l'information volée%

L'email pourrait ressembler à un des suivants:

Vol d'informations – Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • http://www.bancorural.com.br/
   • unibanco.com.br
   • bradesco.com.br/scripts/
   • https://carrinho.americanas.com.br/portal/acom.portal?_nfpb=true&portlet_payment_actionOverride=#portlets#payment%
   • https://www.submarino.com.br/Payment.asp?AddrId=&Atm=
   • https://www2.rural.com.br/RuralIBank/principal.jsp
   • banknet.brb.com.br/iBanking
   • www.bec.com.br
   • bancoreal.com.br
   • http://www.bancoreal.com.br/
   • http://www.bancoreal.com.br
   • https://wwws.nossacaixa.com.br/bemvindo.asp
   • itau.com.br

– Il capture:
    • Information du compte

–Des fenêtres avec des formulaires sont affichées, ainsi qu'ils sont montrés dans les images suivantes:

Informations divers Mutex:
Il crée le Mutex suivant:
• fataL MuTexXx

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Marius T. Nicolae le vendredi 1 septembre 2006
Description mise à jour par Marius T. Nicolae le lundi 18 septembre 2006

Retour . . . .