TR/Spy.Banker.BAY - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Spy.Banker.BAY
La date de la découverte:	02/10/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	294.792 Octets
Somme de contrôle MD5:	48913bbd9f747a27e747685c445fc84e
Version VDF:	6.36.00.71
Version IVDF:	6.36.00.86

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Spy.Win32.Banker.cbk
   • F-Secure: Trojan-Spy.Win32.Banker.cbk
   • Grisoft: PSW.Banker
   • Eset: Win32/Spy.Banker.AHY

Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il s'autocopie dans les emplacements suivants:
• %ALLUSERSPROFILE%\start menu\programs\startup\Windows Update.exe
• %SYSDIR%\Windows Update.exe

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Winconfig"="%SYSDIR%\Windows Update.exe"

Email Il n'as pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:

De:
L'adresse de l'expéditeur est falsifiée.
L'expéditeur de cet e-mail est un des ceux qui suivent:
   • ATIVADO! %le nom de l'ordinateur%
   • $$$$ CEF

A:
Les destinataires de l'email sont les suivants:
   • newfamilyxxxx1@gmail.com
   • infossss@gmail.com

Le format des emails:

De: ATIVADO! %le nom de l'ordinateur%
A: newfamilyxxxx1@gmail.com

De: $$$$ CEF
A: newfamilyxxxx1@gmail.com
Sujet: CHEGOU UMA INFO CEF
Le corps:
   • [+] Tipo...........: %l'information volée%
     [+] Agência........: %l'information volée%
     [+] Conta..........: %l'information volée%
     [+] Senha NET......: %l'information volée%
     [+] Ass. Eletrônica: %l'information volée%

L'email ressemble à celui-ci:

Envoie de messages Serveur MX:
Il a la capacité de contacter le serveur MX:
• gsmtp185.google.com

Vol d'informations Il essaie de voler l'information suivante:

– Une routine de journalisation est commencé après qu'un site web soit visité.
• https://internetcaixa.caixa.gov.br/NASApp/SIIBC/saldo.processa

– Il capture:
• Information du compte

–Des fenêtres avec des formulaires sont affichées, ainsi qu'ils sont montrés dans les images suivantes:

Informations divers Mutex:
Il crée le Mutex suivant:
• DsKmSk MuTexXx

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• PEtite

Voir la description brève ici.

Description inséré par Adriana Popa sur Mon, 09 Oct 2006 10:48 (GMT+1)
Description mise à jour par Adriana Popa sur Mon, 09 Oct 2006 16:02 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour