TR/Spy.Banker.qo.8 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Spy.Banker.qo.8
La date de la découverte:	09/06/2005
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	697.344 Octets
Somme de contrôle MD5:	34f609ff9da428545d1049416cd7b6ed
Version VDF:	6.31.0.24

Fichiers Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
• http://**********.vilabol.uol.com.br/keylogf.jpg
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\keylogf.dll

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "dark"="%SYSDIR%\imgst.scr"

Email Il n'as pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:

A:
Le destinataire de l'email est le suivant:
• carajaspo**********com.br

Envoie de messages Serveur MX:
Il n'emploi pas le serveur MX standard:
Il a la capacité de contacter le serveur MX:
• smtp.mail.yahoo.fr

Vol d'informations – Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • http:/ /www.banco**********.gov.br; http:/
      /www.banco**********.com.br/; https:/
      /bank**********.com.br/GRIPNET/gracgi.exe; https:/
      /bank**********.com.br/GRIPNET/montaMenu.exe; https:/
      /**********.unibanco.com.br/index.asp; https:/
      /**********.caixa.gov.br/NASApp/SIIBC/index_verif.processa;
      https:/
      /**********.caixa.gov.br/NASApp/SIIBC/login_ok.processa;
      https:/ /**********.itau.com.br/GRIPNET/montaMenu.exe;
      https:/ /**********.bnb.gov.br/aco_ini.htm; https:/
      /**********.bnb.gov.br/aco_ini.htm; https:/
      /**********.bancobrasil.com.br/aapf/aai/login.pbk; https:/
      /**********.bancobrasil.com.br/aapf/aai/principal; https:/
      /wwws.**********.com.br/dgb/defaultsenha.asp; https:/
      /wwwss.**********.com.br;
      www.banco**********.com.br;
      www.banco**********.com.br;
      www.banco**********.com.br; www.ban**********.com.br;
      www.bank**********.com.br; www.**********.br;
      www.**********.br; www.**********.br;
      www.**********.br; www.**********.br;
      www.**********.com.br; www.**********.com.br;
      www.**********.com.br; C:\BancoBrasil\officeIE\index.html;
      C:\BancoBrasil\officePLUGIN\index.html

– Il capture:
    • Frappes de touche
    • Fenêtre d'information
    • La fenêtre du navigateur
    • Information du compte

Voir la description brève ici.

Description inséré par Razvan Olteanu sur Wed, 31 Aug 2005 14:15 (GMT+1)
Description mise à jour par Razvan Olteanu sur Fri, 02 Sep 2005 09:24 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour