TR/Spy.Banker.anv.2009 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Spy.Banker.anv.2009
La date de la découverte:	18/07/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	522.240 Octets
Somme de contrôle MD5:	21e9b46f8a1d8a746e884abbe704d988
Version VDF:	6.35.00.176
Version IVDF:	6.35.00.216

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Spy.Win32.Banker.anv
   • TrendMicro: TSPY_BANKER.BVG
   • Sophos: Troj/Banker-LCQ
   • Bitdefender: Trojan.Spy.Banker.WV

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il s'autocopie dans les emplacements suivants:
• %SYSDIR%\msnmsg.exe
• %ALLUSERSPROFILE%\start menu\programs\startup\msnmsg.exe

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "msnmsg"="%SYSDIR%\msnmsg.exe"

Email Il n'as pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:

Le format des emails:
De: Infectado (Email Infected)
A: autoinfected@gmail.com
Sujet: Infectado (Email Infect)%le nom de l'ordinateur%
Le corps:
   • /-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-
     Nome do PC:.........: %le nom de l'ordinateur%
     Físico IP:..........: %L'adresse IP courante%
     Data:...............: %la date courante%
     Hora:...............: %l'heure courante%
     Versao do windows:..: %système d'exploitation% (version %la version de Windows%)
     Mac adress:.........: %L'adresse MAC%
     /-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/
De: Information
A: vhwsvh@gmail.com
Sujet: De: Caixa Economica Federal
Le corps:
   • /-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-
     Nome do PC:.........: %le nom de l'ordinateur%
     Físico IP:..........: %L'adresse IP courante%
     Data:...............: %la date courante%
     Hora:...............: %l'heure courante%
     Versao do windows:..: %système d'exploitation% (version %la version de Windows%)
     Mac adress:.........: %L'adresse MAC%
     /-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/

     ------------------------------------------
     [Caixa Tip].............: 001 - Conta Corrente - P.Física
     [Caixa Agê].............: %l'information volée%
     [Caixa Con].............: %l'information volée%
     [Caixa SeNet]...........: %l'information volée%
     [Caixa AssElet].........: %l'information volée%
     ------------------------------------------
De: Information
A: vhwsvh@gmail.com
Sujet: De: Unibanco
Le corps:
   • /-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-
     Nome do PC:.........: %le nom de l'ordinateur%
     Físico IP:..........: %L'adresse IP courante%
     Data:...............: %la date courante%
     Hora:...............: %l'heure courante%
     Versao do windows:..: %système d'exploitation% (version %la version de Windows%)
     Mac adress:.........: %L'adresse MAC%
     /-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/
     ---------------------------------------
     Agência.........:%l'information volée%
     Conta...........:%l'information volée%
     Senha Conta.....:%l'information volée%
     Conta-Dig.......:%l'information volée%
     Nascimento......: %l'information volée%
     Ass. Eletrônica.:%l'information volée%
     ---------------------------------------
De: Information
A: vhwsvh@gmail.com
Sujet: De: B4ncoDOBrasil
Le corps:
   • /-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-
     Nome do PC:.........: %le nom de l'ordinateur%
     Físico IP:..........: %L'adresse IP courante%
     Data:...............: %la date courante%
     Hora:...............: %l'heure courante%
     Versao do windows:..: %système d'exploitation% (version %la version de Windows%)
     Mac adress:.........: %L'adresse MAC%
     /-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/
     ---------------------------------------
     Titu.....: 1º Titular
     Age......: %l'information volée%
     Cont.....: %l'information volée%
     SeAA.....: %l'information volée%
     SeCart...: %l'information volée%
     ---------------------------------------

L'email pourrait ressembler à un des suivants:

Vol d'informations Il essaie de voler l'information suivante:

– Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • http://www.unibanco.com.br
   • https://internetcaixa.caixa.gov.br/NASApp/SIIBC/index_verif.processa
   • https://www2.bancobrasil.com.br/aapf/aai/login.pbk

– Il capture:
    • La fenêtre du navigateur
    • Information du compte

–Des fenêtres avec des formulaires sont affichées, ainsi qu'ils sont montrés dans les images suivantes:

Informations divers Mutex:
Il crée le Mutex suivant:
• skill3rs

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Voir la description brève ici.

Description inséré par Ionut Slaveanu sur Mon, 11 Sep 2006 13:56 (GMT+1)
Description mise à jour par Ionut Slaveanu sur Tue, 12 Sep 2006 10:20 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour