TR/Spy.Banker.anv.1989 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Spy.Banker.anv.1989
La date de la découverte:	14/07/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	1.266.688 Octets
Somme de contrôle MD5:	9bac1eef5ed43002f598beba38f10D21
Version VDF:	6.35.00.164
Version IVDF:	6.35.00.203

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Spy.Win32.Banker.anv
   • TrendMicro: TSPY_BANKER.EZM
   • F-Secure: Trojan-Spy.Win32.Banker.anv
   • VirusBuster: TrojanSpy.Banker.EKS
   • Eset: Win32/Spy.Banker.ANV

Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il s'autocopie dans les emplacements suivants:
   • %ALLUSERSPROFILE%\Menu Iniciar\Programas\Inicializar\Spool32.exe
   • %ALLUSERSPROFILE%\start menu\programs\startup\Spool32.exe
   • %WINDIR%\Menu Iniciar\Programas\Iniciar\Spool32.exe
   • %WINDIR%\Spool32.exe

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Spool32"="%WINDIR%\Spool32.exe"

Email Il n'as pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:

Le format des emails:
De: License
A: secxxw@gmail.com
Sujet: Accept Terms by %le nom de l'ordinateur%
Le corps:
   • ***************************************
     Computador: %le nom de l'ordinateur%
     Data......: %la date courante% Hora: %l'heure courante%
     Windows...: %la version de Windows%
     ***************************************
     .

Envoie de messages Serveur MX:
Il n'emploi pas le serveur MX standard:
Il a la capacité de contacter le serveur MX:
• gsmtp185.google.com

Vol d'informations – Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • www.unibanco.com.br
   • www.bancoreal.com.br
   • www.caixa.gov.br
   • www.bb.com.br
   • www.itau.com.br
   • www.bradesco.com.br
   • www.hsbc.com.br

– Il capture:
    • Information du compte

Informations divers Mutex:
Il crée le Mutex suivant:
• Open Bar

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Teodor Onisor sur Wed, 06 Sep 2006 14:44 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour