TR/Spy.Banker.adq - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Spy.Banker.adq
La date de la découverte:	13/09/2005
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	1.106.432 Octets
Somme de contrôle MD5:	8b6754b9f97d0f3c32635da271496e82
Version VDF:	6.32.0.13

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il s'autocopie dans l'emplacement suivant:
• %WINDIR%\svchosts.exe

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "svchosts"="%WINDIR%\svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "bnfx"="%WINDIR%\svchosts.exe"

Email Il n'as pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:

Le format des emails:

De: "KL magnific&bnfx - infected" <logs@terra.com.br>
A: b1c40@isbt.com.br
Sujet: %le nom de l'ordinateur% infected
Le corps:
   • 11 banks

De: "INFO: %le nom de l'ordinateur%" <info@terra.com.br>
A: contaslegais@gmail.com
Sujet: %nom de la banque%
Le corps:
   • INFO: %le nom de l'ordinateur%
     ================================
     =%nom de la banque%=
     %l'information volée%

L'email pourrait ressembler à un des suivants:

Envoie de messages Serveur MX:
Il a la capacité de contacter le serveur MX:
• smtp.isbt.com.br

Vol d'informations – Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • www14.bancobrasil.com.br
   • empresarial.unibanco.com.br/index.asp
   • https://ibpf.unibanco.com.br
   • https://www.santandernet.com.br
   • banknet.brb.com.br/brbBanknet
   • wwws.nossacaixa.com.br/bemvindo.asp
   • nel.bnb.gov.br
   • https://netbanking2.banespa.com.br/Inicial.asp

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient une des sous chaînes de caractères suivantes dans l'URL.
   • bradesco.com.br/scripts
   • bto/link/msie/btope0hw.asp
   • RuralIBank/principal.jsp
   • bbr
   • bradesco
   • sant
   • uniba
   • caixa
   • real
   • nocaixa
   • ban
   • nordeste
   • rural
   • banri

– Il capture:
    • Frappes de touche
    • Information du compte

Informations divers Mutex:
Il crée le Mutex suivant:
• STFK MutexXx

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• PEncrypt 3.1

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Wed, 14 Sep 2005 11:12 (GMT+1)
Description mise à jour par Iulia Diaconescu sur Mon, 19 Sep 2005 15:51 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour