Nome del virus:TR/Spy.Banker.vk.1
Scoperto:31/08/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:448.328 Byte
Somma di controllo MD5:f50D69bac27736ecd238039405bf3b60
Versione VDF:6.31.01.124

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Banker.aww
   •  TrendMicro: TSPY_BANKER.EZL
   •  VirusBuster: TrojanSpy.Banker.EKW
   •  Bitdefender: Generic.Banker.Delf.11A1B4E9


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni

 File  Cancella i seguenti file:
   • %temporary internet files%\*.gif
   • %temporary internet files%\*.css
   • %temporary internet files%\*.php
   • %temporary internet files%\*.xml
   • %temporary internet files%\*.bmp
   • %temporary internet files%\*.htm
   • %temporary internet files%\*.cab
   • %temporary internet files%\*.crl
   • %cookies%\*.txt

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "boby."="%SYSDIR%\Isass.scr"



Viene aggiunta la seguente chiave di registro:

– [HKCU\boby]

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password inserite nei campi di input password

– Dopo aver visitato uno dei seguenti siti web viene avviata una procedura di “tracciamento”:
   • https://www2.bancobrasil.com.br/aapf/aai/**********;
      https://www2.bancobrasil.com.br/aapf/extratos/**********;
      https://www2.bancobrasil.com.br/aapf/aai/**********;
      https://office.bancobrasil.com.br/servlet/**********;
      https://office.bancobrasil.com.br/gov/**********;
      https://www2.bancobrasil.com.br/aapf/aai/**********;
      http://www.bb.com.br/appbb/portal/bb/ds/**********;
      http://www.bb.com.br/appbb/portal/voce/fin/fnc/**********;
      http://www.bb.com.br/appbb/portal/bb/pp/**********;
      http://www.bb.com.br/appbb/portal/voce/mcif/**********;
      http://www.bb.com.br/appbb/portal/hs/crediario/**********;
      http://www.bb.com.br/appbb/portal/ip/srv2/**********;
      http://www.bb.com.br/appbb/portal/voce/ep/srv2/**********;
      http://www.bb.com.br/appbb/portal/voce/fin/**********;
      http://www.bb.com.br/appbb/portal/voce/ep/car/**********;
      http://www.bb.com.br/appbb/portal/voce/cons/**********;
      http://www.bb.com.br/appbb/portal/on/seg/**********;
      http://www.bb.com.br/appbb/portal/on/prv/**********;
      http://www.bb.com.br/appbb/portal/on/cap/**********;
      http://www.bb.com.br/appbb/portal/bb/simp/**********;
      http://www.bb.com.br/appbb/portal/voce/ep/srv2/**********;
      http://www.bb.com.br/appbb/portal/gov/**********;
      http://www.bb.com.br/appbb/portal/fz2/**********;
      http://www.bb.com.br/appbb/portal/**********

– Cattura:
    • Informazioni di login

–Vengono visualizzate delle form come da figure:



 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • PE Compact

Descrizione inserita da Monica Ghitun su giovedì 31 agosto 2006
Descrizione aggiornata da Monica Ghitun su venerdì 15 settembre 2006

Indietro . . . .