TR/Spy.Banker.bpk - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Spy.Banker.bpk
Scoperto:	19/07/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	825.912 Byte
Somma di controllo MD5:	b6d73ad77f9c87df6853e121cfd4c98c
Versione VDF:	6.35.00.184
Versione IVDF:	6.35.00.224

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Symantec: Infostealer.Bancos!gen
   • Mcafee: PWS-Banker.gen.g
   • Kaspersky: Trojan-Spy.Win32.Banker.ark
   • TrendMicro: TSPY_BANKER.AFK
   • Sophos: Troj/Bnkmr-Fam
   • Bitdefender: Trojan.Spy.Banker.WVC

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Modifica del registro
   • Sottrae informazioni

File Si copia alla seguente posizione:
• %ALLUSERSPROFILE%\start menu\programs\startup\amsn.exe

Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

– [HKCR\Software\Microsoft\Windows\CurrentVersion\Run]
• "amsn"="%WINDIR%\Config\amsn.exe"

Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:

Da:
L'indirizzo del mittente è falso.
Il mittente dell'email è uno dei seguenti:
   • INFECTADO
   • CAIXAECONOMICA
   • BANCODOBRASIL
   • UNIBANCO
   • BANESPA

A:
Il destinatario dell'email è il seguente:
   • gsmtp.smtp@gmail.com

Oggetto:
Uno dei seguenti:
   • %nome del computer%
   • CHEGOU C/C BUFUNFA %nome del computer%

Corpo dell'email:
A volte inizia con uno dei seguenti:

   • [Infectado OnLine]..:
     Maquina.............: %nome del computer%
     IP..................: %indirizzo IP corrente%
     Data................: %data corrente%
     Hora................: %ora corrente%
     Versão do Windows...: %versione di Windows%
     |'=========SOURCE BY ROJAO===========



   • Demonio FEDERAL
     !
     [Caixa Tip].............:
     [Caixa Agê].............:
     [Caixa Con].............:
     [Caixa SeNet]...........:
     [Caixa AssElet].........:
     !
     !==========SOURCE BY ROJAO=============

   • Unibanco nem parece Banco :D
     [Con-Dig]......:
     [SeCont].......:
     [AssElet]......:
     [NascimE]......:
     !=========SOURCE BY ROJAO==========

   • BANESPA
     [Cont]:.........:
     [Nome Acesso]:..:
     [Sen]:..........:
     [Ass E]:........:
     ==============SOURCE BY ROJAO============

L'email può presentarsi come una delle seguenti:

Invio di messaggi Server MX:
Ha la capacità di contattare il server MX:
• gsmtp185.google.com

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Dopo aver visitato uno dei seguenti siti web viene avviata una procedura di “tracciamento”:
   • http://www.caixa.gov.br/_redirect/links/r_internetcaixa.asp
   • http://www.bancodobrasil.com.br/appbb/portal/index.jsp
   • http://www.santanderbanespa.com.br/portal/gsb/script/templates/GCMRequest.do?page=50

– Cattura:
    • Informazioni di login

Varie Mutex:
Crea il seguente Mutex:
• fataL MuTexXx

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Gabriel Mustata il Tue, 03 Oct 2006 09:23 (GMT+1)
Descrizione aggiornata da Andrei Ivanes il Tue, 24 Oct 2006 16:52 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro