Nom:TR/Spy.Banker.ccj
La date de la découverte:05/10/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:970.752 Octets
Somme de contrôle MD5:7e3a0361cdfe790d15ee8a25c16a0c28
Version VDF:6.36.00.79
Version IVDF:6.36.00.95 - jeudi 12 octobre 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Spy.Win32.Banker.ccj
   •  F-Secure: Trojan-Spy.Win32.Banker.ccj
   •  Sophos: Troj/Bancban-PK
   •  Grisoft: PSW.Banker2.QKO
   •  Eset: Win32/Spy.Banker.AWA
   •  Bitdefender: Trojan.Banker.Delf.DG


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %SYSDIR%\epson.txt

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %SYSDIR%\fotos\foto%nombre%.jpg




Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\netsh.exe
Il exécute le fichier avec les paramètres suivantes : firewall add allowedprogram %SYSDIR%\epson.scr Ftp..


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\netsh.exe
Il exécute le fichier avec les paramètres suivantes : firewall add allowedprogram %SYSDIR%\epson.scr smtp..

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Epson"="%SYSDIR%\epson.scr"

 Email Il n'a pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:


De:
L'expéditeur de cet e-mail est un des ceux qui suivent:
   • bemvindo2006@mail.ru
   • bemvindo2005@mail.ru
   • bemvindo2007@mail.ru


A:
Les destinataires de l'email sont les suivants:
   • bemvindo2007@gmail.com
   • bemvindo20066@gmail.com
   • vidanova424@gmail.com


Le format des emails:
Sujet: MAIS UM NO AGUARDO%le nom de l'ordinateur%
Sujet: Sangue Bom - %le nom de l'ordinateur%
Le corps:
   • %le nom de l'ordinateur%
     %l'information volée%
L'attachement:
   • foto%nombre%.jpg



L'email pourrait ressembler à un des suivants:



 Envoie de messages Serveur MX:
Il a la capacité de contacter le serveur MX:
   • smtp.mail.ru

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'

– Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • http://www.orkut.com
   • http://www.bb.com.br
   • http://www.bradesco.com.br
   • http://www.equifax.com.br
   • http://www.santander.com.br
   • http://santander.com.br/portal/bsb/script/templates/GCMRequest.do?page=1010
   • http://www.banespa.com.br
   • http://www.itau.com.br
   • https://bankline.itau.com.br/GRIPNET/gracgi.EXE
   • https://www2.bancobrasil.com.br/aapf/aai/principal
   • https://internetcaixa.caixa.gov.br/NASApp/SIIBC/login_autentica.processa
   • https://bradesconetempresa.com.br
   • https://www2.bancobrasil.com.br/aapf/aai/login.pbk?textoConteudo=3

– Il capture:
    • Information du compte

–Des fenêtres avec des formulaires sont affichées, ainsi qu'ils sont montrés dans les images suivantes:




 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Adriana Popa le jeudi 7 décembre 2006
Description mise à jour par Adriana Popa le vendredi 8 décembre 2006

Retour . . . .