TR/Spy.Banker.bpk - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Spy.Banker.bpk
La date de la découverte:	19/07/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	825.912 Octets
Somme de contrôle MD5:	b6d73ad77f9c87df6853e121cfd4c98c
Version VDF:	6.35.00.184
Version IVDF:	6.35.00.224

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Symantec: Infostealer.Bancos!gen
   • Mcafee: PWS-Banker.gen.g
   • Kaspersky: Trojan-Spy.Win32.Banker.ark
   • TrendMicro: TSPY_BANKER.AFK
   • Sophos: Troj/Bnkmr-Fam
   • Bitdefender: Trojan.Spy.Banker.WVC

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il s'autocopie dans l'emplacement suivant:
• %ALLUSERSPROFILE%\start menu\programs\startup\amsn.exe

Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

– [HKCR\Software\Microsoft\Windows\CurrentVersion\Run]
• "amsn"="%WINDIR%\Config\amsn.exe"

Email Il n'as pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:

De:
L'adresse de l'expéditeur est falsifiée.
L'expéditeur de cet e-mail est un des ceux qui suivent:
   • INFECTADO
   • CAIXAECONOMICA
   • BANCODOBRASIL
   • UNIBANCO
   • BANESPA

A:
Le destinataire de l'email est le suivant:
   • gsmtp.smtp@gmail.com

Sujet:
Un des suivants:
   • %le nom de l'ordinateur%
   • CHEGOU C/C BUFUNFA %le nom de l'ordinateur%

Corps:
Parfois il commence avec un des suivants:

   • [Infectado OnLine]..:
     Maquina.............: %le nom de l'ordinateur%
     IP..................: %L'adresse IP courante%
     Data................: %la date courante%
     Hora................: %l'heure courante%
     Versão do Windows...: %la version de Windows%
     |'=========SOURCE BY ROJAO===========



   • Demonio FEDERAL
     !
     [Caixa Tip].............:
     [Caixa Agê].............:
     [Caixa Con].............:
     [Caixa SeNet]...........:
     [Caixa AssElet].........:
     !
     !==========SOURCE BY ROJAO=============

   • Unibanco nem parece Banco :D
     [Con-Dig]......:
     [SeCont].......:
     [AssElet]......:
     [NascimE]......:
     !=========SOURCE BY ROJAO==========

   • BANESPA
     [Cont]:.........:
     [Nome Acesso]:..:
     [Sen]:..........:
     [Ass E]:........:
     ==============SOURCE BY ROJAO============

L'email pourrait ressembler à un des suivants:

Envoie de messages Serveur MX:
Il a la capacité de contacter le serveur MX:
• gsmtp185.google.com

Vol d'informations Il essaie de voler l'information suivante:

– Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • http://www.caixa.gov.br/_redirect/links/r_internetcaixa.asp
   • http://www.bancodobrasil.com.br/appbb/portal/index.jsp
   • http://www.santanderbanespa.com.br/portal/gsb/script/templates/GCMRequest.do?page=50

– Il capture:
    • Information du compte

Informations divers Mutex:
Il crée le Mutex suivant:
• fataL MuTexXx

Voir la description brève ici.

Description inséré par Gabriel Mustata sur Tue, 03 Oct 2006 09:23 (GMT+1)
Description mise à jour par Andrei Ivanes sur Tue, 24 Oct 2006 16:52 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour