TR/Spy.Banker.boa - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Spy.Banker.boa
La date de la découverte:	10/07/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	1.512.448 Octets
Somme de contrôle MD5:	4c3feb3408abb61ea982bd4e6a42c1a4
Version VDF:	6.35.00.141
Version IVDF:	6.35.00.180

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Spy.Win32.Banker.boa
   • TrendMicro: TSPY_BANCOS.MF
   • Sophos: Troj/Banker-CZO
   • VirusBuster: trojan TrojanSpy.Banker.EKZ
   • Bitdefender: Trojan.Spy.Banker.CA

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée un fichier
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\AntiVirus.exe

Le fichier suivant est créé:

– %SYSDIR%\drivers\oreans32.sys

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "AntiVirus.exe"="%SYSDIR%\AntiVirus.exe"

Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\oreans32
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000001
   • "ImagePath"="\??\%SYSDIR%\drivers\oreans32.sys"
   • "DisplayName"="oreans32"

– HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security
   • "Security"=%valeurs hexa%

– HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum
   • "0"="Root\\LEGACY_OREANS32\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Email Il n'as pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:

De:
L'adresse de l'expéditeur est falsifiée.
L'expéditeur de cet e-mail est un des ceux qui suivent:
   • "Pescado"
   • mundomaravilha@gmail.com

A:
– L'adresse email suivante:
   • boximportante@gmail.com
   • boxrexeada@gmail.com

Sujet:
Un des suivants:
   • Amiga-bvinho
   • Bem Vindo-%name of the computer%

Corps:

   • Nome do Computador: %name of the computer%
     Ip:%Adresse IP%

Parfois continué par ce qui suit:

   • Banespa
     Numero...............:%l'information volée%
     A&C&D................:%l'information volée%
     Nome do Infeliz......:%l'information volée%
     Entrada..............:%l'information volée%
     Confirm..............:%l'information volée%

L'email pourrait ressembler à un des suivants:

Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans le partage réseau suivant:
• C$

Vol d'informations – Une routine de journalisation est commencé après qu'un site web soit visité.
• https://netbanking2.banespa.com.br

–Des fenêtres avec des formulaires sont affichées, ainsi qu'ils sont montrés dans les images suivantes:

Informations divers Mutex:
Il crée le Mutex suivant:
• STFK MutexXx

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Marius T. Nicolae sur Wed, 30 Aug 2006 11:45 (GMT+1)
Description mise à jour par Marius T. Nicolae sur Thu, 14 Sep 2006 14:45 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour