Nome del virus:TR/Banker.Delf.EC
Scoperto:16/02/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:1.560.472 Byte
Somma di controllo MD5:6a154e0A90f45202ec2d42e9a71a1b03
Versione VDF:6.33.01.01 - giovedì 16 febbraio 2006
Versione IVDF:6.33.01.01 - giovedì 16 febbraio 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  TrendMicro: TSPY_BANKER.EZT


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\AntiVirus.scr
   • %SYSDIR%\smsss.exe
   • %ALLUSERSPROFILE%\start menu\programs\startup\AntiVirus.scr

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "AntiVirus"="%SYSDIR%\AntiVirus.scr"



Viene aggiunta la seguente chiave di registro:

– HKCU\SOFTWARE\MICROSOFT\MS SETUP (ACME)\

 Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:


Da:
L'indirizzo del mittente è falso.
Il mittente dell'email è uno dei seguenti:
   • "B.R.A.V.O" <boizao2006@yahoo.com.br>
   • pau 100 mil


A:
– Il seguente indirizzo email:
   • gracelltda@gmail.com


Oggetto:
Uno dei seguenti:
   • $DINHEIRO$
   • $DINHEIRO$%name of the bank%
   • ESSE =?ISO-8859-1?Q?=C9?= FORTE= %name of the computer%



Corpo dell'email:

   • %informazioni sottratte%



L'email può presentarsi come una delle seguenti:



 Sottrazione di informazioni – Dopo aver visitato uno dei seguenti siti web viene avviata una procedura di “tracciamento”:
   • http://www.bancorural.com.br/
   • unibanco.com.br
   • bradesco.com.br/scripts/
   • https://carrinho.americanas.com.br/portal/acom.portal?_nfpb=true&portlet_payment_actionOverride=#portlets#payment%
   • https://www.submarino.com.br/Payment.asp?AddrId=&Atm=
   • https://www2.rural.com.br/RuralIBank/principal.jsp
   • banknet.brb.com.br/iBanking
   • www.bec.com.br
   • bancoreal.com.br
   • http://www.bancoreal.com.br/
   • http://www.bancoreal.com.br
   • https://wwws.nossacaixa.com.br/bemvindo.asp
   • itau.com.br

– Cattura:
    • Informazioni di login

–Vengono visualizzate delle form come da figure:




 Varie Mutex:
Crea il seguente Mutex:
   • fataL MuTexXx

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Marius T. Nicolae su venerdì 1 settembre 2006
Descrizione aggiornata da Marius T. Nicolae su lunedì 18 settembre 2006

Indietro . . . .