Nome del virus:TR/Spy.Banker.bpj
Scoperto:19/07/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:285.184 Byte
Somma di controllo MD5:c3d013ce5cef94c914fa570C945a231f
Versione VDF:6.35.00.184
Versione IVDF:6.35.00.224

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Banker.bpj
   •  TrendMicro: TSPY_BANKER.BVM
   •  Sophos: Troj/Banker-LCR
   •  Bitdefender: Trojan.Spy.Banker.WVA


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:



Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzerà la seguente finestra:


 File Si copia alla seguente posizione:
   • %SYSDIR%\winsp II\Services.exe



Crea la seguente directory:
   • %SYSDIR%\winsp II



Viene creato il seguente file:

%SYSDIR%\servicesxpnt.dll Questo file contiene le battute di tastiera recuperate.



Prova ad eseguire il seguente file:

– Nome del file:
   • %directory scelta casualmente%\IExplore.exe
utilizzando i seguenti parametri: www_getwindowinfo

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Services"="%SYSDIR%\winsp II\Services.exe"



Viene aggiunta la seguente chiave di registro:

– HKCU\Services

 Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:


Da:
L'indirizzo del mittente è falso.
Il mittente della mail è il seguente:
   • "%nome del computer%" <cristinacastro007@gmail.com>


A:
Il destinatario dell'email è il seguente:
   • cristinacastro007@gmail.com


Oggetto:
Il seguente:
   • confirmando =?ISO-8859-1?Q?atualiza=E7=E3o?= sp2%nome del
      computer%



Corpo dell'email:
Il corpo dell’email è come il seguente:

   • %informazioni sottratte%



L’email si presenta come di seguito:


 Invio di messaggi Server MX:
Ha la capacità di contattare il server MX:
   • gsmtp185.google.com

 Backdoor Contatta il server:
Il seguente:
   • http://zptq.no.sapo.pt/**********

Come risultato viene fornita la capacità di controllare da remoto. Questo viene fatto tramite la richiesta HTTP GET in uno script CGI.
La risposta dei server è scritta nel file: %SYSDIR%\itlzxp.dll


Capacità di controllo remoto:
    • Download di file

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Dopo aver visitato uno dei seguenti siti web viene avviata una procedura di “tracciamento”:
   • http://citibank.com
   • http://www.uol.com.br

– Cattura:
    • Informazioni della finestra
    • Finestra del browser

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Marius T. Nicolae su lunedì 11 settembre 2006
Descrizione aggiornata da Marius T. Nicolae su lunedì 11 settembre 2006

Indietro . . . .