TR/Spy.Banker.ccj - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Spy.Banker.ccj
Scoperto:	05/10/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	970.752 Byte
Somma di controllo MD5:	7e3a0361cdfe790d15ee8a25c16a0c28
Versione VDF:	6.36.00.79
Versione IVDF:	6.36.00.95

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Kaspersky: Trojan-Spy.Win32.Banker.ccj
   • F-Secure: Trojan-Spy.Win32.Banker.ccj
   • Sophos: Troj/Bancban-PK
   • Grisoft: PSW.Banker2.QKO
   • Eset: Win32/Spy.Banker.AWA
   • Bitdefender: Trojan.Banker.Delf.DG

Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sottrae informazioni

File Vengono creati i seguenti file:

– File “non maligno”:
   • %SYSDIR%\epson.txt

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %SYSDIR%\fotos\foto%numero%.jpg

Prova ad eseguire i seguenti file:

– Nome del file:
   • %SYSDIR%\netsh.exe
utilizzando i seguenti parametri: firewall add allowedprogram %SYSDIR%\epson.scr Ftp..

– Nome del file:
   • %SYSDIR%\netsh.exe
utilizzando i seguenti parametri: firewall add allowedprogram %SYSDIR%\epson.scr smtp..

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "Epson"="%SYSDIR%\epson.scr"

Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:

Da:
Il mittente dell'email è uno dei seguenti:
   • bemvindo2006@mail.ru
   • bemvindo2005@mail.ru
   • bemvindo2007@mail.ru

A:
I destinatari dell'email sono i seguenti:
   • bemvindo2007@gmail.com
   • bemvindo20066@gmail.com
   • vidanova424@gmail.com

Design delle email:
Oggetto: MAIS UM NO AGUARDO%nome del computer%
Oggetto: Sangue Bom - %nome del computer%
Corpo della mail:
   • %nome del computer%
     %informazioni sottratte%
Allegato:
   • foto%numero%.jpg

L'email può presentarsi come una delle seguenti:

Invio di messaggi Server MX:
Ha la capacità di contattare il server MX:
• smtp.mail.ru

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password inserite nei campi di input password

– Dopo aver visitato uno dei seguenti siti web viene avviata una procedura di “tracciamento”:
   • http://www.orkut.com
   • http://www.bb.com.br
   • http://www.bradesco.com.br
   • http://www.equifax.com.br
   • http://www.santander.com.br
   • http://santander.com.br/portal/bsb/script/templates/GCMRequest.do?page=1010
   • http://www.banespa.com.br
   • http://www.itau.com.br
   • https://bankline.itau.com.br/GRIPNET/gracgi.EXE
   • https://www2.bancobrasil.com.br/aapf/aai/principal
   • https://internetcaixa.caixa.gov.br/NASApp/SIIBC/login_autentica.processa
   • https://bradesconetempresa.com.br
   • https://www2.bancobrasil.com.br/aapf/aai/login.pbk?textoConteudo=3

– Cattura:
    • Informazioni di login

–Vengono visualizzate delle form come da figure:

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Delphi.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Adriana Popa il Thu, 07 Dec 2006 12:20 (GMT+1)
Descrizione aggiornata da Adriana Popa il Fri, 08 Dec 2006 12:17 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro