TR/Banker.Delf.DF735649 - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Banker.Delf.DF735649
Scoperto:	14/03/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	497.263 Byte
Somma di controllo MD5:	ba970E1969262fe24e8f580B25d10Bc1
Versione VDF:	6.34.00.44

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Mcafee: PWS-Banker.gen.bb
   • TrendMicro: TSPY_BANKER.CGU
   • Bitdefender: Trojan.Banker.Delf.DF735649

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sottrae informazioni

Giusto dopo l'esecuzione viene visualizzata la seguente informazione:

L'immagine è stata modificata per la visualizzazione.

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Windows"="%WINDIR%\smss.exe"

La seguente chiave di registro che include tutti i valori e le sottochiavi, viene rimossa:
• [HKCR\CLSID\{2E3C3651-B19C-4DD9-A979-901EC3E930AF}]

Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Code Store Database]

Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:

Da:
Il mittente della mail è il seguente:
   • "%nome del computer%"

A:
Il destinatario dell'email è il seguente:
   • peixim2007@gmail.com

Oggetto:
Il seguente:
   • Aviso-Infect - %nome del computer%

Corpo dell'email:

Il corpo dell’email è come il seguente:

   • %nome del computer%

     Dispositivo instalado.
     Maquina pronta para uso.

     Data: %data corrente%
     Hora: %ora corrente%

     Development by CROW MASTER.

L’email si presenta come di seguito:

Invio di messaggi Server MX:
Ha la capacità di contattare uno dei seguenti server MX:
   • smtp.isbt.com.br
   • smtp.terra.com.br
   • smtp.poa.terra.com.br

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Dopo aver visitato uno dei seguenti siti web viene avviata una procedura di “tracciamento”:
   • https://itaubankline.itau.com.br
   • https://bankline.itau.com.br
   • https://netbanking2.banespa.com.br
   • https://internetcaixa.caixa.gov.br
   • http://www.bb.com.br
   • http://www.itau.com.br
   • http://www.santander.com.br
   • http://www.banespa.com.br
   • http://www.sudameris.com.br
   • http://www.bradesco.com.br

– Cattura:
    • Informazioni della finestra
    • Informazioni di login

–Vengono visualizzate delle form come da figure:

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Delphi.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Daniel Constantin il Fri, 17 Mar 2006 10:26 (GMT+1)
Descrizione aggiornata da Daniel Constantin il Fri, 17 Mar 2006 10:47 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro