TR/Banker.Delf.DF735649 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Banker.Delf.DF735649
La date de la découverte:	14/03/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	497.263 Octets
Somme de contrôle MD5:	ba970E1969262fe24e8f580B25d10Bc1
Version VDF:	6.34.00.44

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Mcafee: PWS-Banker.gen.bb
   • TrendMicro: TSPY_BANKER.CGU
   • Bitdefender: Trojan.Banker.Delf.DF735649

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il vole de l'information

Immédiatement après l'exécution l'information suivante est affichée:

L'image a été éditée dans le but d'affichage.

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Windows"="%WINDIR%\smss.exe"

La clé de registre suivante, y compris toutes les valeurs et les sous-clés, est enlevée.
• [HKCR\CLSID\{2E3C3651-B19C-4DD9-A979-901EC3E930AF}]

La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Code Store Database]

Email Il n'as pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:

De:
L'expéditeur de cet e-mail est ce qui suit:
   • "%le nom de l'ordinateur%"

A:
Le destinataire de l'email est le suivant:
   • peixim2007@gmail.com

Sujet:
Le suivant:
   • Aviso-Infect - %le nom de l'ordinateur%

Corps:

Le corps de l'email est le suivant:

   • %le nom de l'ordinateur%

     Dispositivo instalado.
     Maquina pronta para uso.

     Data: %la date courante%
     Hora: %l'heure courante%

     Development by CROW MASTER.

L'email ressemble à celui-ci:

Envoie de messages Serveur MX:
Il a la capacité de contacter un des serveurs MX suivants:
   • smtp.isbt.com.br
   • smtp.terra.com.br
   • smtp.poa.terra.com.br

Vol d'informations Il essaie de voler l'information suivante:

– Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • https://itaubankline.itau.com.br
   • https://bankline.itau.com.br
   • https://netbanking2.banespa.com.br
   • https://internetcaixa.caixa.gov.br
   • http://www.bb.com.br
   • http://www.itau.com.br
   • http://www.santander.com.br
   • http://www.banespa.com.br
   • http://www.sudameris.com.br
   • http://www.bradesco.com.br

– Il capture:
    • Fenêtre d'information
    • Information du compte

–Des fenêtres avec des formulaires sont affichées, ainsi qu'ils sont montrés dans les images suivantes:

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Daniel Constantin sur Fri, 17 Mar 2006 10:26 (GMT+1)
Description mise à jour par Daniel Constantin sur Fri, 17 Mar 2006 10:47 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour