TR/Spy.Banker.bpj - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Spy.Banker.bpj
Scoperto:	19/07/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	285.184 Byte
Somma di controllo MD5:	c3d013ce5cef94c914fa570C945a231f
Versione VDF:	6.35.00.184
Versione IVDF:	6.35.00.224

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Kaspersky: Trojan-Spy.Win32.Banker.bpj
   • TrendMicro: TSPY_BANKER.BVM
   • Sophos: Troj/Banker-LCR
   • Bitdefender: Trojan.Spy.Banker.WVA

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

Giusto dopo l'esecuzione viene visualizzata la seguente informazione:

Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzerà la seguente finestra:

File Si copia alla seguente posizione:
   • %SYSDIR%\winsp II\Services.exe

Crea la seguente directory:
   • %SYSDIR%\winsp II

Viene creato il seguente file:

– %SYSDIR%\servicesxpnt.dll Questo file contiene le battute di tastiera recuperate.

Prova ad eseguire il seguente file:

– Nome del file:
   • %directory scelta casualmente%\IExplore.exe
utilizzando i seguenti parametri: www_getwindowinfo

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Services"="%SYSDIR%\winsp II\Services.exe"

Viene aggiunta la seguente chiave di registro:

– HKCU\Services

Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:

Da:
L'indirizzo del mittente è falso.
Il mittente della mail è il seguente:
   • "%nome del computer%" <cristinacastro007@gmail.com>

A:
Il destinatario dell'email è il seguente:
   • cristinacastro007@gmail.com

Oggetto:
Il seguente:
   • confirmando =?ISO-8859-1?Q?atualiza=E7=E3o?= sp2%nome del
      computer%

Corpo dell'email:
Il corpo dell’email è come il seguente:

   • %informazioni sottratte%

L’email si presenta come di seguito:

Invio di messaggi Server MX:
Ha la capacità di contattare il server MX:
• gsmtp185.google.com

Backdoor Contatta il server:
Il seguente:
• http://zptq.no.sapo.pt/**********

Come risultato viene fornita la capacità di controllare da remoto. Questo viene fatto tramite la richiesta HTTP GET in uno script CGI.
La risposta dei server è scritta nel file: %SYSDIR%\itlzxp.dll

Capacità di controllo remoto:
• Download di file

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Dopo aver visitato uno dei seguenti siti web viene avviata una procedura di “tracciamento”:
   • http://citibank.com
   • http://www.uol.com.br

– Cattura:
    • Informazioni della finestra
    • Finestra del browser

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Delphi.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Marius T. Nicolae il Mon, 11 Sep 2006 15:38 (GMT+1)
Descrizione aggiornata da Marius T. Nicolae il Mon, 11 Sep 2006 15:57 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro