Nome del virus:TR/Spy.Banker.ccj
Scoperto:05/10/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:970.752 Byte
Somma di controllo MD5:7e3a0361cdfe790d15ee8a25c16a0c28
Versione VDF:6.36.00.79
Versione IVDF:6.36.00.95 - giovedì 12 ottobre 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Banker.ccj
   •  F-Secure: Trojan-Spy.Win32.Banker.ccj
   •  Sophos: Troj/Bancban-PK
   •  Grisoft: PSW.Banker2.QKO
   •  Eset: Win32/Spy.Banker.AWA
   •  Bitdefender: Trojan.Banker.Delf.DG


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sottrae informazioni

 File Vengono creati i seguenti file:

– File “non maligno”:
   • %SYSDIR%\epson.txt

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %SYSDIR%\fotos\foto%numero%.jpg




Prova ad eseguire i seguenti file:

– Nome del file:
   • %SYSDIR%\netsh.exe
utilizzando i seguenti parametri: firewall add allowedprogram %SYSDIR%\epson.scr Ftp..


– Nome del file:
   • %SYSDIR%\netsh.exe
utilizzando i seguenti parametri: firewall add allowedprogram %SYSDIR%\epson.scr smtp..

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Epson"="%SYSDIR%\epson.scr"

 Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:


Da:
Il mittente dell'email è uno dei seguenti:
   • bemvindo2006@mail.ru
   • bemvindo2005@mail.ru
   • bemvindo2007@mail.ru


A:
I destinatari dell'email sono i seguenti:
   • bemvindo2007@gmail.com
   • bemvindo20066@gmail.com
   • vidanova424@gmail.com


Design delle email:
Oggetto: MAIS UM NO AGUARDO%nome del computer%
Oggetto: Sangue Bom - %nome del computer%
Corpo della mail:
   • %nome del computer%
     %informazioni sottratte%
Allegato:
   • foto%numero%.jpg



L'email può presentarsi come una delle seguenti:



 Invio di messaggi Server MX:
Ha la capacità di contattare il server MX:
   • smtp.mail.ru

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password inserite nei campi di input password

– Dopo aver visitato uno dei seguenti siti web viene avviata una procedura di “tracciamento”:
   • http://www.orkut.com
   • http://www.bb.com.br
   • http://www.bradesco.com.br
   • http://www.equifax.com.br
   • http://www.santander.com.br
   • http://santander.com.br/portal/bsb/script/templates/GCMRequest.do?page=1010
   • http://www.banespa.com.br
   • http://www.itau.com.br
   • https://bankline.itau.com.br/GRIPNET/gracgi.EXE
   • https://www2.bancobrasil.com.br/aapf/aai/principal
   • https://internetcaixa.caixa.gov.br/NASApp/SIIBC/login_autentica.processa
   • https://bradesconetempresa.com.br
   • https://www2.bancobrasil.com.br/aapf/aai/login.pbk?textoConteudo=3

– Cattura:
    • Informazioni di login

–Vengono visualizzate delle form come da figure:




 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Adriana Popa su giovedì 7 dicembre 2006
Descrizione aggiornata da Adriana Popa su venerdì 8 dicembre 2006

Indietro . . . .