TR/Spy.Banker.ark.189 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Spy.Banker.ark.189
La date de la découverte:	13/02/2006
Type:	Cheval de Troie
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	870.400 Octets
Somme de contrôle MD5:	10e565b7fe003e1ee3c2908ec81ac0a2
Version VDF:	6.33.00.224

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

L'alias:
   • Kaspersky: Trojan-Spy.Win32.Banker.ark

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il s'autocopie dans les emplacements suivants:
• %SYSDIR%\system32.exe
• %ALLUSERSPROFILE%\programs\startup\system32.exe

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "system32"="%SYSDIR%\system32.exe"

Email Il n'as pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:

De:
L'expéditeur de cet e-mail est ce qui suit:
   • barhamas@terra.com.br

A:
Les destinataires de l'email sont les suivants:
   • jhoocanavas@gmail.com
   • foxbank3d@gmail.com

Le format des emails:

Sujet: %le nom de l'ordinateur% [Infectado NY]
Le corps:
   • |------------HOMEM DE GELO -----------|
     |Maquina?: %le nom de l'ordinateur%
     |[Infectado OnLine]: |
     |IP: %Adresse IP%|
     |Data AproX: %la date courante% Hora AproX: %le temps courant%
     |Sistema: %système d'exploitation%
     |Endereço da Placa: |
     |-----------HOMEM DE GELO-----------|

Sujet: Olha Info Ai: %le nom de l'ordinateur%
Le corps:
   • |------------HOMEM DE GELO -----------|
     |Maquina?: %le nom de l'ordinateur%
     |[Infectado OnLine]: |
     |IP: %Adresse IP%|
     |Data AproX: %la date courante% Hora AproX: %le temps courant%
     |Sistema: %système d'exploitation%
     |Endereço da Placa: |
     |-----------HOMEM DE GELO-----------|
     %nom de la banque%
     %l'information volée%

Vol d'informations Il essaie de voler l'information suivante:

– Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • www.bancorural.com.br
   • www.bradesco.com.br
   • www.unibanco.com.br
   • www.itau.com.br
   • www.paypal.com

– Il capture:
    • Fenêtre d'information
    • Information du compte

Informations divers Mutex:
Il crée le Mutex suivant:
• fataL MuTexXx

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Andrei Gherman sur Tue, 14 Feb 2006 09:16 (GMT+1)
Description mise à jour par Andrei Gherman sur Tue, 14 Feb 2006 10:24 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour