TR/Spy.Bancos.YT.2 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Spy.Bancos.YT.2
La date de la découverte:	22/09/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	179.200 Octets
Somme de contrôle MD5:	17b0f4c1e448749988a91d9d912c827c
Version VDF:	6.36.00.52
Version IVDF:	6.36.00.63

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Spy.Win32.Bancos.yt
   • F-Secure: Trojan-Spy.Win32.Bancos.yt
   • Sophos: Troj/Bancos-AW
   • Eset: Win32/Spy.Bancos.U

Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il vole de l'information

Immédiatement après l'exécution l'information suivante est affichée:

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\nspackk.exe

Le fichier suivant est créé:

– %WINDIR%\winhlp32.dat Ceci est un fichier texte non malveillant qui contient d'information au sujet de soi-même.

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "NSpackk"=""%SYSDIR%\nSpackk.exe""

La clé de registre suivante est changée:

– HKLM\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\Storages\
   InternetMail\RealTimeScan
   La nouvelle valeur:
   • "OnOff"=dword:00000000

Email Il n'as pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:

Le format des emails:
De: passageiro2006a@yahoo.es
A: caxopa2@yahoo.com.hk
Sujet: Retorno!!%la date courante% %l'heure courante%
Le corps:
   •
     Msg da versão.: 5.0.0 OR - 1-Sem arquivo

     .

Envoie de messages Serveur MX:
Il n'emploi pas le serveur MX standard:
Il a la capacité de contacter le serveur MX:
• smtp.correo.yahoo.es

Vol d'informations Il essaie de voler l'information suivante:

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient une des sous chaînes de caractères suivantes dans l'URL.
   • www2.bancobrasil.com.br
   • https://www2.bancobrasil.com.br/aapf/saldos/006.jsp?codT=0
   • https://www2.bancosbrasil.com.br/aapff/aaii/principal
   • internetcaixa.caixa.gov.br
   • \BancoBrasil\officeIE\index.html
   • https://bankline.itau.com.br/GRIPNET/gracgi.exe
   • bankline.itau.com.br

– Il capture:
    • Information du compte

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• PECompact

Voir la description brève ici.

Description inséré par Teodor Onisor sur Thu, 05 Oct 2006 12:03 (GMT+1)
Description mise à jour par Teodor Onisor sur Thu, 05 Oct 2006 14:05 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour