English
Deutsch
Francais
Español
Italian
Home
Minacce
TR/Banload.XY.2
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TR/Banload.XY.2 - Trojan
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
TR/Banload.XY.2
Scoperto:
20/01/2006
Tipo:
Trojan
In circolazione (ITW):
No
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Basso
Potenziale di danni:
Medio
File statico:
Si
Dimensione del file:
14.438 Byte
Somma di controllo MD5:
7cd461b1d4b7c8b04828bc9303be9c19
Versione VDF:
6.33.01.34
Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione
Alias:
• Kaspersky: Trojan-Spy.Win32.Delf.or
Piattaforme / Sistemi operativi:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Duplica file
• Modifica del registro
• Sottrae informazioni
Giusto dopo l'esecuzione viene visualizzata la seguente informazione:
File
Cancella il seguente file:
•
%SYSDIR%
\winte.html
Vengono creati i seguenti file:
–
%directory di esecuzione del malware%
\sui.dll
–
%directory di esecuzione del malware%
\suact\004.act Questo è un file di testo “non maligno” con il seguente contenuto:
• 004.act
–
%directory di esecuzione del malware%
\suact\011.act Questo è un file di testo “non maligno” con il seguente contenuto:
• 011.act
–
%directory di esecuzione del malware%
\suact\013.act Questo è un file di testo “non maligno” con il seguente contenuto:
• 013.act
–
%directory di esecuzione del malware%
\suact\015.act Questo è un file di testo “non maligno” con il seguente contenuto:
• 015.act
–
%directory di esecuzione del malware%
\wint.ini
–
%SYSDIR%
\winte.html
–
%directory di esecuzione del malware%
\suskn\004.sns
–
%directory di esecuzione del malware%
\suskn\011.sns
–
%directory di esecuzione del malware%
\suskn\013.sns
–
%directory di esecuzione del malware%
\suskn\015.sns
–
%SYSDIR%
\ierror.rep Questo è un file di testo “non maligno” con il seguente contenuto:
• [
%data corrente%
][
%ora corrente%
]#PROGRAMM INSTALLED!#
–
%directory di esecuzione del malware%
\sei.dll
–
%directory di esecuzione del malware%
\sucontr\UVER.ctr Questo è un file di testo “non maligno” con il seguente contenuto:
• 1.12
Registro
Registra un “browser helper object” (BHO) aggiungendo la seguente chiave:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}]
Vengono aggiunte le seguenti chiavi di registro:
– [HKCR\CLSID\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}\InprocServer32]
• @="
%directory di esecuzione del malware%
\msupdate.dll"
• "ThreadingModel"="Apartment"
– [HKCR\CLSID\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}\ProgID]
• @="msupdate.Microsoft Update Service"
– [HKCR\CLSID\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}]
• @="NETWORK SERVICE"
– [HKCR\msupdate.Microsoft Update Service]
• @="NETWORK SERVICE"
– [HKCR\msupdate.Microsoft Update Service\Clsid]
• @="{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}"
Backdoor
Contatta il server:
Tutti i seguenti:
• http://oxygunn.com/aerodrom/**********
• http://oxygunn.com/aerodrom/**********
• http://oxygunn.com/aerodrom/**********
Come risultato può inviare alcune informazioni. Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.
Invia informazioni riguardanti:
• Stato corrente del malware
• Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte
• Ora di sistema
Sottrazione di informazioni
Prova a sottrarre le seguenti informazioni:
– Dopo aver visitato uno dei seguenti siti web viene avviata una procedura di “tracciamento”:
• barclays.co.uk
• hsbc.co.uk
• olb2.nationet.com
• deutsche-bank.de
• nwolb.com
• co-operativebank.co.uk
• my.if.com
• smile.co.uk
• cahoot.com
• webbank.openplan.co.uk
• anbusiness.com
• https://olb2.nationet.com/MyAccounts/
• https://olb2.nationet.com
• https://ibank.barclays.co.uk/olb/q/LoginPasscode
• https://ibank.barclays.co.uk/olb/q/LoginMember.do
• https://welcome6.co-operativebank.co.uk/CBIBSWeb/loginSpi.do
• https://welcome6.co-operativebank.co.uk/CBIBSWeb/start.do
Dettagli del file
Linguaggio di programmazione:
Il malware è stato scritto in Delphi.
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• ASPack
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Iulia Diaconescu il Mon, 20 Mar 2006 17:11 (GMT+1)
Descrizione aggiornata da Iulia Diaconescu il Tue, 21 Mar 2006 11:06 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
Worm/Mytob.AT
TR/Crypt.CFI.Gen
Worm/Mytob.U
Worm/Mytob.AD
Worm/Klez.E
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
JS/Dldr.Agent.cex
TR/Dldr.Tiny.bqw
© 2008 Avira GmbH
Copyright
Protezione dei dati
Mappa del sito
Feedback
Informazione legale
FAQ
Contatti
Minacce 
Stampa questa pagina
