Descrizione completa

Nome del virus:	TR/Dldr.Delf.tp.1.A
Scoperto:	15/09/2005
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	385.536 Byte
Somma di controllo MD5:	d905b68eea607dfd2fdc6bc21278abfd
Versione VDF:	6.31.1.188

Generale Alias:
   • Mcafee: PWS-Banker.gen.i
   • Kaspersky: Trojan-Spy.Win32.Banker.acb

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni

File Cancella i seguenti file:
   • %temporary internet files%\*.*
   • %cookies%\*.*

Vengono creati i seguenti file:

– File “non maligni”:
   • %WINDIR%\Filespro\Tales\Local\barra2-PROGRESS.bmp;
      %WINDIR%\Filespro\Tales\Local\barra_brad.bmp;
      %WINDIR%\Filespro\Tales\Local\barra_progress.bmp;
      %WINDIR%\Filespro\Tales\Local\bt_confirma.bmp;
      %WINDIR%\Filespro\Tales\Local\bt_retornaCX.bmp;
      %WINDIR%\Filespro\Tales\Local\cadeado.bmp;
      %WINDIR%\Filespro\Tales\Local\campo_CX.bmp;
      %WINDIR%\Filespro\Tales\Local\caps.bmp;
      %WINDIR%\Filespro\Tales\Local\err_bb.bmp;
      %WINDIR%\Filespro\Tales\Local\logoPF.bmp;
      %WINDIR%\Filespro\Tales\Local\logo_BB.bmp;
      %WINDIR%\Filespro\Tales\Local\senha_AMARELA.bmp;
      %WINDIR%\Filespro\Tales\Local\senha_GER.bmp;
      %WINDIR%\Filespro\Tales\Local\teclado_CX.bmp;
      %WINDIR%\Filespro\Tales\Local\tela2_BB.bmp;
      %WINDIR%\Filespro\Tales\Local\tela_Bradesco_senha.bmp;
      %WINDIR%\Filespro\Tales\Local\tela_brad_sencartao.bmp;
      %WINDIR%\Filespro\Tales\Local\tela_caixa_assinatura.bmp;
      %WINDIR%\Filespro\Tales\Local\topo2.bmp;
      %WINDIR%\Filespro\Tales\Local\TV_PJ.bmp; %WINDIR%\winnavps\bb\1234.jar;
      %WINDIR%\winnavps\bb\banner012.jpg; %WINDIR%\winnavps\bb\banner03.gif;
      %WINDIR%\winnavps\bb\banner13.gif; %WINDIR%\winnavps\bb\barra_ger.jpg;
      %WINDIR%\winnavps\bb\barsep.gif; %WINDIR%\winnavps\bb\certificacao.gif;
      %WINDIR%\winnavps\bb\cópia de gerenciador.html;
      %WINDIR%\winnavps\bb\do.gif; %WINDIR%\winnavps\bb\erro_bb.html;
      %WINDIR%\winnavps\bb\erro_gerenciador.html;
      %WINDIR%\winnavps\bb\gerenciador.html;
      %WINDIR%\winnavps\bb\gerenciador2.html; %WINDIR%\winnavps\bb\imagem01.gif;
      %WINDIR%\winnavps\bb\imagem02.gif; %WINDIR%\winnavps\bb\imagem06.gif;
      %WINDIR%\winnavps\bb\imagem07.gif; %WINDIR%\winnavps\bb\imagem10.gif;
      %WINDIR%\winnavps\bb\imagem11.gif; %WINDIR%\winnavps\bb\imagem19.gif;
      %WINDIR%\winnavps\bb\imagem20.gif; %WINDIR%\winnavps\bb\imagem21.gif;
      %WINDIR%\winnavps\bb\imgentra.gif; %WINDIR%\winnavps\bb\imglimpa.gif;
      %WINDIR%\winnavps\bb\inicio.gif; %WINDIR%\winnavps\bb\lbg.gif;
      %WINDIR%\winnavps\bb\linha.gif; %WINDIR%\winnavps\bb\msg_1.gif;
      %WINDIR%\winnavps\bb\principal.html; %WINDIR%\winnavps\bb\prod3.gif;
      %WINDIR%\winnavps\bb\pt.gif; %WINDIR%\winnavps\bb\pt10.gif;
      %WINDIR%\winnavps\bb\pt11.gif; %WINDIR%\winnavps\bb\pt12.gif;
      %WINDIR%\winnavps\bb\pt13.gif; %WINDIR%\winnavps\bb\ptc1.gif;
      %WINDIR%\winnavps\bb\ptc2.gif; %WINDIR%\winnavps\bb\ptc3.gif;
      %WINDIR%\winnavps\bb\ptc4.gif; %WINDIR%\winnavps\bb\ptt.gif;
      %WINDIR%\winnavps\bb\rdc.gif; %WINDIR%\winnavps\bb\rdl.gif;
      %WINDIR%\winnavps\bb\sua.jpg; %WINDIR%\winnavps\bb\tcvirtu.gif;
      %WINDIR%\winnavps\bb\tracoh.gif; %WINDIR%\winnavps\bb\tracoh2.gif;
      %WINDIR%\winnavps\bb\tracoh_1.gif; %WINDIR%\winnavps\bb\tracoh_1_2.gif;
      %WINDIR%\winnavps\bb\tracoh_1_3.gif; %WINDIR%\winnavps\bb\tracov.gif;
      %WINDIR%\winnavps\bb\tracov2.gif; %WINDIR%\winnavps\bb\tracov3.gif;
      %WINDIR%\winnavps\bb\tracov_1.gif; %WINDIR%\winnavps\bb\tracov_1_2.gif;
      %directory di esecuzione del malware%\ibb011.cfg; %directory di
      esecuzione del malware%\tsuname2.txt; %directory di esecuzione del
      malware%\brad11.cfg; %directory di esecuzione del
      malware%\tsuname4.txt

Prova a scaricare dei file:

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/barra2-PROGRESS.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\barra2-PROGRESS.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/barra_brad.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\barra_brad.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/barra_progress.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\barra_progress.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/bt_confirma.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\bt_confirma.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/bt_retornaCX.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\bt_retornaCX.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/cadeado.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\cadeado.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/campo_CX.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\campo_CX.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/caps.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\caps.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/err_bb.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\err_bb.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/logoPF.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\logoPF.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/logo_BB.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\logo_BB.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/senha_AMARELA.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\senha_AMARELA.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/senha_GER.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\senha_GER.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/teclado_CX.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\teclado_CX.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/tela2_BB.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\tela2_BB.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/tela_Bradesco_senha.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\tela_Bradesco_senha.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/tela_brad_sencartao.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\tela_brad_sencartao.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/tela_caixa_assinatura.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\tela_caixa_assinatura.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/topo2.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\topo2.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/TV_PJ.html
Viene salvato in locale sotto: %WINDIR%\Filespro\Tales\Local\TV_PJ.zip

– La posizione è la seguente:
   • http://**********.vilabol.uol.com.br/qqq.html
Viene salvato in locale sotto: %WINDIR%\winnavps\bbb.bck

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "irwftp"="%SYSDIR%\swshost.exe"

Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:

Design delle email:

Da: "%nome del computer%" <%nome del computer%edilene.bastos@isbt.com.br>
A: edilene.bastos@isbt.com.br
Oggetto: Confirmei-ROYALTIES_BLACK
Corpo della mail:
   • %data corrente% - %ora corrente%
      %nome del computer%

Da: "%nome del computer%" <%nome del computer%astra22gsi@isbt.com.br>
A: astra22gsi@isbt.com.br
Oggetto: Confirmei-ROYALTIES_BLACK
Corpo della mail:
   • %data corrente% - %ora corrente%
      %nome del computer%

Da: "%nome del computer%" <%nome del computer%edilene.bastos@isbt.com.br>
A: edilene.bastos@isbt.com.br
Oggetto: Skol_p-ROYALTIES_BLACK
Corpo della mail:
   • %data corrente% - %ora corrente%
      %nome del computer%
Allegato:
   • tsuname4.txt

Da: "%nome del computer%" <%nome del computer%astra22gsi@isbt.com.br>
A: astra22gsi@isbt.com.br
Oggetto: Skol_p-ROYALTIES_BLACK
Corpo della mail:
   • %data corrente% - %ora corrente%
      %nome del computer%
Allegato:
   • tsuname4.txt

Da: "%nome del computer%" <%nome del computer%edilene.bastos@isbt.com.br>
A: edilene.bastos@isbt.com.br
Oggetto: Coca-cola-ROYALTIES_BLACK
Corpo della mail:
   • %data corrente% - %ora corrente%
      %nome del computer%
Allegato:
   • tsuname2.txt

Da: "%nome del computer%" <%nome del computer%astra22gsi@isbt.com.br>
A: astra22gsi@isbt.com.br
Oggetto: Coca-cola-ROYALTIES_BLACK
Corpo della mail:
   • %data corrente% - %ora corrente%
      %nome del computer%
Allegato:
   • tsuname2.txt

L’email si presenta come di seguito:

Invio di messaggi Server MX:
Ha la capacità di contattare il server MX:
• smtp.isbt.com.br

Sottrazione di informazioni – Dopo aver visitato un sito web viene avviata una procedura di “tracciamento”:
   • https://www2.bancobrasil.com.br/aapf/aai/login.pbk

– Dopo aver visitato un sito web, che nel suo URL contiene la seguente sottostringa, viene avviata una procedura di “tracciamento”:
   • http://www.bradesco.com.br

– Cattura:
    • Battute di tastiera
    • Informazioni di login

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Delphi.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• ASPack 2.12

Descrizione inserita da Iulia Diaconescu su venerdì 16 settembre 2005
Descrizione aggiornata da Iulia Diaconescu su martedì 20 settembre 2005

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti