TR/Spy.Banker.aca - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Spy.Banker.aca
La date de la découverte:	26/08/2005
Type:	Cheval de Troie
Sous type:	spyware
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	1,249,855 Octets
Somme de contrôle MD5:	a663d38656dcbfd49a99cd6a997b2eb9
Version VDF:	6.31.1.186

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

L'alias:
   • Mcafee: PWS-Banker.gen.bb
   • Kaspersky: Trojan-Spy.Win32.Banker.aca
   • Sophos: Troj/Bancban-ES

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il s'autocopie dans l'emplacement suivant:
• %WINDIR%\Config\svchost.exe

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "svchost"="c:\windows\\config\\svchost.exe"

Email Il n'as pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:

Le format des emails:

De: Makina:%le nom de l'ordinateur%
A: bl4d3xcool2@gmail.com
Sujet: %le nom de l'ordinateur% Infectado
Le corps:
   • Nome do Computador: %le nom de l'ordinateur% Infected
     IP: %L'adresse IP courante%
     Data: %la date courante%
     Hora: %le temps courant%

De: PC:%le nom de l'ordinateur%
A: bl4d3xcool2@gmail.com
Sujet: Banrisul
Le corps:
   • <Kl built in: %la date courante%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %le nom de l'ordinateur%
     IP: %L'adresse IP courante%
     Data: %la date courante% Hora: %le temps courant%
     ------------> Banrisul <--------------
     BANRISUL Agencia=%l'information volée%
     BANRISUL Conta=%l'information volée%
     BANRISUL Senha=%l'information volée%
     BANRISUL Senha Complementar=%l'information volée%

De: PC:%le nom de l'ordinateur%
A: bl4d3xcool2@gmail.com
Sujet: Bradesco
Le corps:
   • <Kl built in: %la date courante%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %le nom de l'ordinateur%
     IP: %L'adresse IP courante%
     Data: %la date courante% Hora: %le temps courant%
     -------------> Bradesco <--------------
     BRADESCO Agencia :%l'information volée%
     BRADESCO Conta :%l'information volée%
     BRADESCO Tipo de conta:%l'information volée%
     BRADESCO S. 4 digitos:%l'information volée%
     BRADESCO Resposta secreta:%l'information volée%
     BRADESCO S. Cartao de Debito:%l'information volée%
     BRADESCO CPF:%l'information volée%
     BRADESCO Data de nascimento:%l'information volée%
     BRADESCO RG:%l'information volée%

De: PC:%le nom de l'ordinateur%
A: bl4d3xcool2@gmail.com
Sujet: Unibanco
Le corps:
   • <Kl built in: %la date courante%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %le nom de l'ordinateur%
     IP: %L'adresse IP courante%
     Data: %la date courante% Hora: %le temps courant%
     -------------> Unibanco <-------------
     UNIBANCO AG=%l'information volée%
     UNIBANCO Conta=%l'information volée%
     UNIBANCO Digito=%l'information volée%
     UNIBANCO Senha CC=%l'information volée%
     UNIBANCO Ass. Eletronica=%l'information volée%

De: PC:%le nom de l'ordinateur%
A: bl4d3xcool2@gmail.com
Sujet: Unibanco Empresa
Le corps:
   • <Kl built in: %la date courante%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %le nom de l'ordinateur%
     IP: %L'adresse IP courante%
     Data: %la date courante% Hora: %le temps courant%
     ----------> Unibanco Empresa <---------
     UNIBANCO Apelido=%l'information volée%

De: PC:%le nom de l'ordinateur%
A: bl4d3xcool2@gmail.com
Sujet: Banco Estadual do Cear
Le corps:
   • <Kl built in: %la date courante%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %le nom de l'ordinateur%
     IP: %L'adresse IP courante%
     Data: %la date courante% Hora: %le temps courant%
     ------->>> Banco Estadual do Cear <<-------
     BEC Agencia:%l'information volée%
     BEC Conta:%l'information volée%
     BEC Digito:%l'information volée%
     BEC Senha NET:%l'information volée%
     BEC Resposta:%l'information volée%

De: PC:%le nom de l'ordinateur%
A: bl4d3xcool2@gmail.com
Sujet: Banco de Brasilia
Le corps:
   • <Kl built in: %la date courante%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %le nom de l'ordinateur%
     IP: %L'adresse IP courante%
     Data: %la date courante% Hora: %le temps courant%
     ----------------> BRB <----------------
     BRB Usuario=%l'information volée%
     BRB Conta=%l'information volée%
     BRB Senha=%l'information volée%
     BRB Senha AE=%l'information volée%

De: PC:%le nom de l'ordinateur%
A: bl4d3xcool2@gmail.com
Sujet: Nossa Caixa
Le corps:
   • <Kl built in: %la date courante%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %le nom de l'ordinateur%
     IP: %L'adresse IP courante%
     Data: %la date courante% Hora: %le temps courant%
     -----------> Nossa Caixa <-------------
     NOSSACEF Agencia=%l'information volée%
     NOSSACEF Digito Agencia=%l'information volée%
     NOSSACEF Conta=%l'information volée%
     NOSSACEF Digito Conta=%l'information volée%
     NOSSACEF Ass Eletronica=%l'information volée%
     NOSSACEF Nome=%l'information volée%
     NOSSACEF Senha=%l'information volée%

De: PC:%le nom de l'ordinateur%
A: bl4d3xcool2@gmail.com
Sujet: Real
Le corps:
   • <Kl built in: %la date courante%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %le nom de l'ordinateur%
     IP: %L'adresse IP courante%
     Data: %la date courante% Hora: %le temps courant%
     ---------------> Real <----------------
     REAL Login=%l'information volée%
     REAL AG=%l'information volée%
     REAL Conta=%l'information volée%
     REAL Senha NET=%l'information volée%
     REAL Senha CC=%l'information volée%

De: PC:%le nom de l'ordinateur%
A: bl4d3xcool2@gmail.com
Sujet: Santander
Le corps:
   • <Kl built in: %la date courante%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %le nom de l'ordinateur%
     IP: %L'adresse IP courante%
     Data: %la date courante% Hora: %le temps courant%
     ------------> Santander <-------------
     SANTANDER User=%l'information volée%
     SANTANDER Agencia=%l'information volée%
     SANTANDER Conta=%l'information volée%
     SANTANDER 4 digitos=%l'information volée%
     SANTANDER Ass. Eletronica=%l'information volée%

De: PC:%le nom de l'ordinateur%
A: bl4d3xcool2@gmail.com
Sujet: Banco do Nordeste
Le corps:
   • <Kl built in: %la date courante%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %le nom de l'ordinateur%
     IP: %L'adresse IP courante%
     Data: %la date courante% Hora: %le temps courant%
     --------> Banco do Nordeste <---------
     NORDESTE Usuario:%l'information volée%
     NORDESTE Agencia:%l'information volée%
     NORDESTE Conta:%l'information volée%
     NORDESTE Digito:%l'information volée%
     NORDESTE S.Atend:%l'information volée%
     NORDESTE Cartao:%l'information volée%

De: PC:%le nom de l'ordinateur%
A: bl4d3xcool2@gmail.com
Sujet: Banespa
Le corps:
   • <Kl built in: %la date courante%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %le nom de l'ordinateur%
     IP: %L'adresse IP courante%
     Data: %la date courante% Hora: %le temps courant%
     -------------> Banespa <--------------
     BANESPA Usuario:%l'information volée%
     BANESPA Agencia:%l'information volée%
     BANESPA Conta:%l'information volée%
     BANESPA Digito:%l'information volée%
     BANESPA S.Atend:%l'information volée%
     BANESPA Cartao:%l'information volée%

De: PC:%le nom de l'ordinateur%
A: bl4d3xcool2@gmail.com
Sujet: Banco Rural
Le corps:
   • <Kl built in: %la date courante%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %le nom de l'ordinateur%
     IP: %L'adresse IP courante%
     Data: %la date courante% Hora: %le temps courant%
     -----------> Banco Rural <------------
     RURAL Usuario:%l'information volée%
     RURAL Senha:%l'information volée%
     RURAL Agencia:%l'information volée%
     RURAL Tipo:%l'information volée%
     RURAL Conta Corrente:%l'information volée%
     RURAL Digito:%l'information volée%

De: PC:%le nom de l'ordinateur%
A: bl4d3xcool2@gmail.com
Sujet: Gerenciador Financeiro
Le corps:
   • <Kl built in: %la date courante%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %le nom de l'ordinateur%
     IP: %L'adresse IP courante%
     Data: %la date courante% Hora: %le temps courant%
     ---------> Gerenciador Financeiro <---------
     GF CHAVE ACESSO:%l'information volée%
     GF SENHA ACESSO:%l'information volée%
     GF AGENCIA:%l'information volée%
     GF CONTA CORRENTE:%l'information volée%
     GF SENHA 8 DIG:%l'information volée%
     --------------------------------------------

De: PC:%le nom de l'ordinateur%
A: bl4d3xcool2@gmail.com
Sujet: Ita
Le corps:
   • <Kl built in: %la date courante%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %le nom de l'ordinateur%
     IP: %L'adresse IP courante%
     Data: %la date courante% Hora: %le temps courant%
     ---------------> Ita <---------------
     ITAU Agencia:%l'information volée%
     ITAU Conta:%l'information volée%
     ITAU Senha internet:%l'information volée%
     ITAU Senha do cartao:%l'information volée%
     ITAU 5 digitos do cartao:%l'information volée%
     ITAU Senha eletronica:%l'information volée%
     ITAU numero do portador:%l'information volée%
     ITAU nascimento:%l'information volée%
     PC:%l'information volée%

De: PC:%le nom de l'ordinateur%
A: bl4d3xcool2@gmail.com
Sujet: Caixa
Le corps:
   • <Kl built in: %la date courante%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %le nom de l'ordinateur%
     IP: %L'adresse IP courante%
     Data: %la date courante% Hora: %le temps courant%
     --------------> Caixa <----------------
     CAIXA Tipo=%l'information volée%
     CAIXA Agencia=%l'information volée%
     CAIXA Conta=%l'information volée%
     CAIXA S. Intermet=%l'information volée%
     CAIXA Ass. Eletronica= %l'information volée%

De: PC:%le nom de l'ordinateur%
A: bl4d3xcool2@gmail.com
Sujet: BB
Le corps:
   • <Kl built in: %la date courante%-------------->
     --------------> Info`z <---------------
     Nome do Computador: %le nom de l'ordinateur%
     IP: %L'adresse IP courante%
     Data: %la date courante% Hora: %le temps courant%
     ---------------> BB <-----------------
     BB Titular:%l'information volée%
     BB Agencia:%l'information volée%
     BB Conta:%l'information volée%
     BB Senha A.Atendimento:%l'information volée%
     BB Senha Cartao:%l'information volée%
     <------------------------------------->

L'email pourrait ressembler à un des suivants:

Envoie de messages Serveur MX:
Il a la capacité de contacter le serveur MX:
• smtp.isbt.com.br

Vol d'informations – Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • wwws1.bec.com.br
   • banknet.brb.com.br/brbBanknet
   • banknet.brb.com.br/banknet
   • wwws.nossacaixa.com.br/bemvindo.asp
   • nel.bnb.gov.br
   • empresarial.unibanco.com.br/index.asp
   • ibpf.unibanco.com.br/index.asp
   • santandernet.com.br
   • www.realsecureweb.com.br/scripts/engine_brpi.dll
   • www2.realsecureweb.com.br/scripts/engine_brpi.dll
   • https://wwwss.bradesco.com.br - Bradesco Internet Banking
   • https://wwwss.bradesco.com.br/scripts/ib2k1.dll/LOGIN
   • https://ww4.banrisul.com.br/bto/link/msie/btope0hw.asp

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient une des sous chaînes de caractères suivantes dans l'URL.
   • itau
   • bradesco
   • realemp
   • banespa
   • santander
   • unibanco
   • uniempresa
   • caixa
   • real
   • bbjuridica
   • bec
   • brb
   • nossacaixa
   • banrisul
   • nordeste
   • bancorural

– Il capture:
    • Frappes de touche
    • Information du compte

Informations divers Mutex:
Il crée le Mutex suivant:
• STFK MutexXx

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• PEtite 2.2

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Mon, 29 Aug 2005 11:18 (GMT+1)
Description mise à jour par Iulia Diaconescu sur Mon, 19 Sep 2005 14:03 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour