Nume:TR/Spy.Banker.ccj
Descoperit pe data de:05/10/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:970.752 Bytes
MD5:7e3a0361cdfe790d15ee8a25c16a0c28
Versiune VDF:6.36.00.79
Versiune IVDF:6.36.00.95 - giovedì 12 ottobre 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Banker.ccj
   •  F-Secure: Trojan-Spy.Win32.Banker.ccj
   •  Sophos: Troj/Bancban-PK
   •  Grisoft: PSW.Banker2.QKO
   •  Eset: Win32/Spy.Banker.AWA
   •  Bitdefender: Trojan.Banker.Delf.DG


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Sustrage informatii

 Fisiere Sunt create fisierele:

– Fisier inofensiv:
   • %SYSDIR%\epson.txt

– Un fisier temporar care poate fi sters dupa aceea:
   • %SYSDIR%\fotos\foto%numar%.jpg




Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • %SYSDIR%\netsh.exe
cu urmatorii parametri: firewall add allowedprogram %SYSDIR%\epson.scr Ftp..


– Numele fisierului:
   • %SYSDIR%\netsh.exe
cu urmatorii parametri: firewall add allowedprogram %SYSDIR%\epson.scr smtp..

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Epson"="%SYSDIR%\epson.scr"

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


De la:
Expeditorul email-ului este unul din urmatorii:
   • bemvindo2006@mail.ru
   • bemvindo2005@mail.ru
   • bemvindo2007@mail.ru


Catre:
Destinatarii mesajului sunt:
   • bemvindo2007@gmail.com
   • bemvindo20066@gmail.com
   • vidanova424@gmail.com


Formatul email-urilor:
Subiect: MAIS UM NO AGUARDO%numele computerului%
Subiect: Sangue Bom - %numele computerului%
Corp mesaj:
   • %numele computerului%
     %informatiile sustrase%
Atasament:
   • foto%numar%.jpg



Email-ul poate arata ca unul din urmatoarele:



 Email Server MX:
Se poate conecta la serverul MX:
   • smtp.mail.ru

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

– O rutina de logare este pornita dupa ce unul din urmatoarele site-uri este vizitat:
   • http://www.orkut.com
   • http://www.bb.com.br
   • http://www.bradesco.com.br
   • http://www.equifax.com.br
   • http://www.santander.com.br
   • http://santander.com.br/portal/bsb/script/templates/GCMRequest.do?page=1010
   • http://www.banespa.com.br
   • http://www.itau.com.br
   • https://bankline.itau.com.br/GRIPNET/gracgi.EXE
   • https://www2.bancobrasil.com.br/aapf/aai/principal
   • https://internetcaixa.caixa.gov.br/NASApp/SIIBC/login_autentica.processa
   • https://bradesconetempresa.com.br
   • https://www2.bancobrasil.com.br/aapf/aai/login.pbk?textoConteudo=3

– Face captura la:
    • Informatii de logare

–Sunt afisate ferestre cu formulare, asa cum arata imaginile de mai jos:




 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Adriana Popa su giovedì 7 dicembre 2006
Descrizione aggiornata da Adriana Popa su venerdì 8 dicembre 2006

Indietro . . . .