Nome del virus:TR/Spy.Banke.any.97
Scoperto:25/07/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:298.724 Byte
Somma di controllo MD5:630E56d0cfff769f886dac4d8da4c10E
Versione VDF:6.35.01.00 - martedì 25 luglio 2006
Versione IVDF:6.35.01.00 - martedì 25 luglio 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Bitdefender: Trojan.Spy.Delf.KG


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Sottrae informazioni

 Registro – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Msn Messenger"="%SYSDIR%\msnmgr.scr"



Viene aggiunta la seguente chiave di registro:

– HKCU\Msn Messenger

 Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:


Da:
Il mittente della mail è il seguente:
   • "Senhas - %nome del computer%" <chegoubom@terra.com.mx>


A:
– Il seguente indirizzo email:
   • teste005@gmail.com


Oggetto:
Il seguente:
   • Msn Atualizado 12/07/06



Corpo dell'email:

   • Usuario Msn: %informazioni sottratte%
     Pass : %informazioni sottratte%
     .



L’email si presenta come di seguito:


 Invio di messaggi Server MX:
Ha la capacità di contattare il server MX:
   • smtp.terra.com.mx

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Exploit:
Sfrutta la seguente vulnerabilità:
– MS04-007 (ASN.1 Vulnerability)

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– La password dal seguente programma:
   • MSN Messenger

–Viene visualizzata una form come da figura:


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Marius T. Nicolae su mercoledì 20 settembre 2006
Descrizione aggiornata da Marius T. Nicolae su mercoledì 20 settembre 2006

Indietro . . . .