Nome del virus:TR/Spy.Banke.any.89
Scoperto:12/07/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:822.904 Byte
Somma di controllo MD5:48cbfa5f08bab42cb79bdefc7795ff30
Versione VDF:6.35.00.154
Versione IVDF:6.35.00.193 - giovedì 20 luglio 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Banker.ark
   •  Sophos: Troj/Bnkmr-Fam
   •  VirusBuster: TrojanSpy.Banker.DWK


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %ALLUSERSPROFILE%\start menu\programs\startup\amsn.exe

 Registro Viene aggiunta la seguente chiave di registro:

– HKCR\Software\Microsoft\Windows\CurrentVersion\Run
   • "amsn"="%WINDIR%\System32%WINDIR%\Config\amsn.exe"

 Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:


Design delle email:
Da: INFECTADO &ltroger.capellari@gmail.com>
A: louco.bank@gmail.com <louco.bank@gmail.com>
Oggetto: INFECTADO%nome del computer%
Corpo della mail:
   • [Infectado OnLine]..:
     Maquina.............: %nome del computer%
     IP..................: %indirizzo IP corrente%
     Data................: %data corrente%
     Hora................: %ora corrente%
     Verso do Windows...: %sistema operativo% (version %versione di Windows%)
     |'=========SOURCE BY ROJAO===========
     .
Da: BANESPA <BANESPA>
A: bianca3007@gmail.com <bianca3007@gmail.com>
Oggetto: CHEGOU C/C %nome del computer%
Corpo della mail:
   • '
     [Infectado OnLine]..:
     Maquina.............: %nome del computer%
     IP..................: %indirizzo IP corrente%
     Data................: %data corrente%
     Hora................: %ora corrente%
     Verso do Windows...: %sistema operativo% (version %versione di Windows%)
     |'=========SOURCE BY ROJAO===========
     BANESPA
     !
     ![Ag]:...........%informazioni sottratte%
     ![Cont]:.........%informazioni sottratte%
     ![Nome Acesso]:..%informazioni sottratte%
     ![Sen]:..........%informazioni sottratte%
     ![Ass E]:........%informazioni sottratte%
     !
     !-=-=-=-=-=-|_PaPaRaZz0_|-=-=-=-=-=-
Da: UNIBANCO <UNIBANCO>
A: bianca3007@gmail.com <bianca3007@gmail.com>
Oggetto: CHEGOU C/C %nome del computer%
Corpo della mail:
   • '
     [Infectado OnLine]..:
     Maquina.............: %nome del computer%
     IP..................: %indirizzo IP corrente%
     Data................: %data corrente%
     Hora................: %ora corrente%
     Versão do Windows...: %sistema operativo% (version %versione di Windows%)
     |'=========SOURCE BY ROJAO===========
     Unibanco nem parece Banco :D
     !
     [Agên].........: %informazioni sottratte%
     [Con-Dig]......: %informazioni sottratte%
     [SeCont].......: %informazioni sottratte%
     [AssElet]......: %informazioni sottratte%
     [NascimE]......: %informazioni sottratte%
     
     !=========SOURCE BY ROJAO==========



L'email può presentarsi come una delle seguenti:




 Invio di messaggi Server MX:
Ha la capacità di contattare il server MX:
   • gsmtp185.google.com

 Sottrazione di informazioni – Dopo aver visitato uno dei seguenti siti web viene avviata una procedura di “tracciamento”:
   • http://www.banespa.com.br/
   • http://www.unibanco.com.br/

– Cattura:
    • Informazioni di login

–Vengono visualizzate delle form come da figure:







 Varie Mutex:
Crea il seguente Mutex:
   • fataL MuTexXx

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Ionut Slaveanu su mercoledì 30 agosto 2006
Descrizione aggiornata da Andrei Ivanes su giovedì 14 settembre 2006

Indietro . . . .