Nome del virus:TR/Spy.Banker.mxp
Scoperto:26/11/2008
Tipo:Trojan
Sottotipo:Spy
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:No
Dimensione del file:~ 3.061.120 Byte
Versione IVDF:7.01.00.138 - mercoledì 26 novembre 2008

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Banker.Win32.Banker.aaus
   •  F-Secure: Trojan-Banker.Win32.Banker.aaus
   •  Sophos: Mal/DelpBanc-A
   •  Grisoft: PSW.Banker5.AEW
   •  VirusBuster: TrojanSpy.Banker.BISF
   •  Eset: Win32/Spy.Banker.PVH trojan
   •  Bitdefender: Packer.RLPack.D


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %ALLUSERSPROFILE%\start menu\programs\startup\Java(TM).exe



Viene creato il seguente file:

– C:\start.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Java(TM)="C:\Arquivos de programas\Java(TM).exe"

 Processi terminati  Il seguente servizio viene disattivato:
   • GbpSv

 Backdoor Contatta il server:
Il seguente:
   • http://contagemdeamigos.iespana.es/**********/contar.php

Come risultato può inviare alcune informazioni. Questo è fatto tramite i metodi HTTP GET e POST, utilizzando uno script PHP.


Invia informazioni riguardanti:
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Dopo aver visitato uno dei seguenti siti web viene avviata una procedura di “tracciamento”:
   • https://www.bradesco.com.br
   • https://netbanking2.banespa.com.br

– Cattura:
    • Informazioni di login

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • RLPack

Descrizione inserita da Thomas Wegele su martedì 16 dicembre 2008
Descrizione aggiornata da Thomas Wegele su martedì 16 dicembre 2008

Indietro . . . .