Nom:TR/Spy.Banker.bpj
La date de la découverte:19/07/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:285.184 Octets
Somme de contrôle MD5:c3d013ce5cef94c914fa570C945a231f
Version VDF:6.35.00.184
Version IVDF:6.35.00.224

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Spy.Win32.Banker.bpj
   •  TrendMicro: TSPY_BANKER.BVM
   •  Sophos: Troj/Banker-LCR
   •  Bitdefender: Trojan.Spy.Banker.WVA


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur


Immédiatement après l'exécution l'information suivante est affichée:



Juste après l'exécution il lance une application windows qui affiche le fenêtre suivante:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\winsp II\Services.exe



Il crée le répertoire suivant:
   • %SYSDIR%\winsp II



Le fichier suivant est créé:

%SYSDIR%\servicesxpnt.dll Ce fichier contient des frappes de touche collectés.



Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
   • %répertoire choisi de façon aléatoire%\IExplore.exe
Il exécute le fichier avec les paramètres suivantes : www_getwindowinfo

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Services"="%SYSDIR%\winsp II\Services.exe"



La clé de registre suivante est ajoutée:

– HKCU\Services

 Email Il n'a pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
L'expéditeur de cet e-mail est ce qui suit:
   • "%le nom de l'ordinateur%" <cristinacastro007@gmail.com>


A:
Le destinataire de l'email est le suivant:
   • cristinacastro007@gmail.com


Sujet:
Le suivant:
   • confirmando =?ISO-8859-1?Q?atualiza=E7=E3o?= sp2%le nom de
      l'ordinateur%



Corps:
Le corps de l'email est le suivant:

   • %l'information volée%



L'email ressemble à celui-ci:


 Envoie de messages Serveur MX:
Il a la capacité de contacter le serveur MX:
   • gsmtp185.google.com

 Porte dérobée Serveur de contact:
Le suivant:
   • http://zptq.no.sapo.pt/**********

En conséquence la possibilité de contrôle à distance est fournie. Ceci est fait par l'intermédiaire de la requête HTTP GET du script CGI.
Le réponse du serveur est écrit dans le fichier: %SYSDIR%\itlzxp.dll


Capacités d'accès à distance:
    • Télécharger un fichier

 Vol d'informations Il essaie de voler l'information suivante:

– Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • http://citibank.com
   • http://www.uol.com.br

– Il capture:
    • Fenêtre d'information
    • La fenêtre du navigateur

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Marius T. Nicolae le lundi 11 septembre 2006
Description mise à jour par Marius T. Nicolae le lundi 11 septembre 2006

Retour . . . .