Nume:TR/Banker.Delf.EC
Descoperit pe data de:16/02/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:1.560.472 Bytes
MD5:6a154e0A90f45202ec2d42e9a71a1b03
Versiune VDF:6.33.01.01 - jeudi 16 février 2006
Versiune IVDF:6.33.01.01 - jeudi 16 février 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  TrendMicro: TSPY_BANKER.EZT


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\AntiVirus.scr
   • %SYSDIR%\smsss.exe
   • %ALLUSERSPROFILE%\start menu\programs\startup\AntiVirus.scr

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "AntiVirus"="%SYSDIR%\AntiVirus.scr"



Se adauga in registrii sistemului:

– HKCU\SOFTWARE\MICROSOFT\MS SETUP (ACME)\

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Expeditorul email-ului este unul din urmatorii:
   • "B.R.A.V.O" <boizao2006@yahoo.com.br>
   • pau 100 mil


Catre:
– Urmatoarea adresa de email:
   • gracelltda@gmail.com


Subiect:
Unul din urmatoarele:
   • $DINHEIRO$
   • $DINHEIRO$%name of the bank%
   • ESSE =?ISO-8859-1?Q?=C9?= FORTE= %name of the computer%



Corpul email-ului:

   • %informatiile sustrase%



Email-ul poate arata ca unul din urmatoarele:



 Furt de informatii – O rutina de logare este pornita dupa ce unul din urmatoarele site-uri este vizitat:
   • http://www.bancorural.com.br/
   • unibanco.com.br
   • bradesco.com.br/scripts/
   • https://carrinho.americanas.com.br/portal/acom.portal?_nfpb=true&portlet_payment_actionOverride=#portlets#payment%
   • https://www.submarino.com.br/Payment.asp?AddrId=&Atm=
   • https://www2.rural.com.br/RuralIBank/principal.jsp
   • banknet.brb.com.br/iBanking
   • www.bec.com.br
   • bancoreal.com.br
   • http://www.bancoreal.com.br/
   • http://www.bancoreal.com.br
   • https://wwws.nossacaixa.com.br/bemvindo.asp
   • itau.com.br

– Face captura la:
    • Informatii de logare

–Sunt afisate ferestre cu formulare, asa cum arata imaginile de mai jos:




 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • fataL MuTexXx

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Marius T. Nicolae le vendredi 1 septembre 2006
Description mise à jour par Marius T. Nicolae le lundi 18 septembre 2006

Retour . . . .