TR/Spy.Banker.bpj - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Spy.Banker.bpj
La date de la découverte:	19/07/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	285.184 Octets
Somme de contrôle MD5:	c3d013ce5cef94c914fa570C945a231f
Version VDF:	6.35.00.184
Version IVDF:	6.35.00.224

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Spy.Win32.Banker.bpj
   • TrendMicro: TSPY_BANKER.BVM
   • Sophos: Troj/Banker-LCR
   • Bitdefender: Trojan.Spy.Banker.WVA

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée des fichiers
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Immédiatement après l'exécution l'information suivante est affichée:

Juste après l'exécution il lance une application windows qui affiche le fenêtre suivante:

Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\winsp II\Services.exe

Il crée le répertoire suivant:
   • %SYSDIR%\winsp II

Le fichier suivant est créé:

– %SYSDIR%\servicesxpnt.dll Ce fichier contient des frappes de touche collectés.

Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
   • \IExplore.exe
Il exécute le fichier avec les paramètres suivantes : www_getwindowinfo

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Services"="%SYSDIR%\winsp II\Services.exe"

La clé de registre suivante est ajoutée:

– HKCU\Services

Email Il n'as pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:

De:
L'adresse de l'expéditeur est falsifiée.
L'expéditeur de cet e-mail est ce qui suit:
   • "%le nom de l'ordinateur%" <cristinacastro007@gmail.com>

A:
Le destinataire de l'email est le suivant:
   • cristinacastro007@gmail.com

Sujet:
Le suivant:
   • confirmando =?ISO-8859-1?Q?atualiza=E7=E3o?= sp2%le nom de
      l'ordinateur%

Corps:
Le corps de l'email est le suivant:

   • %l'information volée%

L'email ressemble à celui-ci:

Envoie de messages Serveur MX:
Il a la capacité de contacter le serveur MX:
• gsmtp185.google.com

Porte dérobée Serveur de contact:
Le suivant:
• http://zptq.no.sapo.pt/**********

En conséquence la possibilité de contrôle à distance est fournie. Ceci est fait par l'intermédiaire de la requête HTTP GET du script CGI.
Le réponse du serveur est écrit dans le fichier: %SYSDIR%\itlzxp.dll

Capacités d'accès à distance:
• Télécharger un fichier

Vol d'informations Il essaie de voler l'information suivante:

– Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • http://citibank.com
   • http://www.uol.com.br

– Il capture:
    • Fenêtre d'information
    • La fenêtre du navigateur

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Marius T. Nicolae sur Mon, 11 Sep 2006 15:38 (GMT+1)
Description mise à jour par Marius T. Nicolae sur Mon, 11 Sep 2006 15:57 (GMT+1)

» À propos des logiciels malveillants
» À propos de l'hameçonnage
» Virus "in the Wild"

« Retour