Nome del virus:TR/Dldr.Banker.GA.1
Scoperto:25/07/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:42.496 Byte
Somma di controllo MD5:06bf129bba13d220406a6ce5739d63a1
Versione VDF:6.35.01.000
Versione IVDF:6.35.01.000

 Generale Alias:
   •  Symantec: Infostealer.Snifula
   •  Kaspersky: Trojan-Spy.Win32.Small.gf
   •  Sophos: Troj/FireSpy-A


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Duplica file
   • Clona un file “maligno”
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %SYSDIR%\138762763.exe



Una sezione viene aggiunta a un file.
– A: %APPDATA%\Mozilla\Firefox\Profiles\%stringa casuale di otto caratteri%.default\extensions.ini Con i seguenti contenuti:
   • [ExtensionDirs]
     Extension0=%APPDATA%\Mozilla\Firefox\Profiles\5yxkpuhr.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\install.rdf




Vengono creati i seguenti file:

%PROGRAM FILES%\Mozilla Firefox\Components\AppInterConn.xpt
%PROGRAM FILES%\Mozilla Firefox\Components\AppInterConn.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Agent.SN.4

– %APPDATA%\Mozilla\Firefox\Profiles\%stringa casuale di otto caratteri%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\install.rdf
– %APPDATA%\Mozilla\Firefox\Profiles\%stringa casuale di otto caratteri%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\chrome.manifest
– %APPDATA%\Mozilla\Firefox\Profiles\%stringa casuale di otto caratteri%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\chrome\numberedlinks.jar
– %APPDATA%\Mozilla\Firefox\Profiles\%stringa casuale di otto caratteri%.default\chrome\overlayinfo\browser\content\overlays.rdf
– %APPDATA%\Mozilla\Firefox\Profiles\%stringa casuale di otto caratteri%.default\chrome\chrome.rdf

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "stup"="%SYSDIR%\138762763.exe"



Viene aggiunta la seguente chiave di registro:

– HKCU\Software\keys
   • "k2"=%numero esadecimale%
   • "k1"=%numero esadecimale%

 Backdoor Contatta il server:
Il seguente:
   • 81.95.147.107/cgi-bin/**********

Questo viene fatto tramite la richiesta HTTP GET in uno script CGI.


Invia informazioni riguardanti:
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password inserite nei campi di input password

– Dopo aver visitato un sito web viene avviata una procedura di “tracciamento”:
   • %qualunque sito web che contenga una form di login%

– Cattura:
    • Informazioni di login

 Varie Mutex:
Crea il seguente Mutex:
   • kjhskdhkjshfd_Mutex

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Bogdan Iliuta su venerdì 28 luglio 2006
Descrizione aggiornata da Bogdan Iliuta su lunedì 31 luglio 2006

Indietro . . . .