TR/SPY.Bank.abg.236 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/SPY.Bank.abg.236
La date de la découverte:	06/09/2005
Type:	Cheval de Troie
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	989.184 Octets
Somme de contrôle MD5:	fe58df8c01b6e6b5430a0810a18d88b8
Version VDF:	6.31.1.214

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Spy.Win32.Banker.abg
   • TrendMicro: TSPY_BANKER.ABF
   • VirusBuster: TrojanSpy.Banker.AKM

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il s'autocopie dans l'emplacement suivant:
• %WINDIR%\config\svchost.exe

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "svchost"="c:\windows\config\svchost.exe"

Email Il n'as pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:

Le format des emails:

De: Makina: %le nom de l'ordinateur%
A: alexis16@isbt.com.br
Sujet: %le nom de l'ordinateur% Infectado
Le corps:
   • Nome do Computador:%le nom de l'ordinateur% Infected
     IP:%L'adresse IP courante%
     Data:%la date courante% Hora:%l'heure courante%

De: PC: %le nom de l'ordinateur%
A: edfs05@yahoo.com.br
Sujet: %nom de la banque%
Le corps:
   • %l'information volée%


L'email pourrait ressembler à un des suivants:

Envoie de messages Serveur MX:
Il n'emploi pas le serveur MX standard:
Il a la capacité de contacter le serveur MX:
• smtp.isbt.com.br

Vol d'informations – Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • wwws1.bec.com.br
   • wwws.nossacaixa.com.br
   • www.realsecureweb.com.br
   • wwwss.bradesco.com.br
   • ww4.banrisul.com.br
   • nel.bnb.gov.br
   • banknet.brb.com.br
   • wwws1.bec.com.br

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient une des sous chaînes de caractères suivantes dans l'URL.
   • banrisul
   • bradesco
   • bbjuridica
   • caixa
   • banespa
   • Real Internet Banking
   • real
   • santander
   • unibanco
   • uniempresa
   • nordeste
   • nossacaixa
   • itau
   • bancorural
   • brb
   • bec

– Il capture:
    • Frappes de touche
    • Information du compte

Informations divers Mutex:
Il crée le Mutex suivant:
• STFK MutexXx

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• PECompact

Voir la description brève ici.

Description inséré par Razvan Olteanu sur Mon, 05 Sep 2005 16:32 (GMT+1)
Description mise à jour par Razvan Olteanu sur Fri, 09 Sep 2005 16:26 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour