TR/Banload.XY.2 - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/Banload.XY.2
発見日：	20/01/2006
タイプ	トロイの木馬
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	14.438 バイト
MD5　チェックサム	7cd461b1d4b7c8b04828bc9303be9c19
VDFファージョン：	6.33.01.34 - Tue, 28 Feb 2006 07:03 (GMT+1)

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Kaspersky(カスペルスキー) Trojan-Spy.Win32.Delf.or

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • ファイルを作成します。
   • レジストリの改変。
   • 情報を盗みます。

起動後以下の情報が表示されます：

ファイル以下のファイルを消去します。
   • %SYSDIR%\winte.html

以下のファイルが作成されます：

– %実行されたマルウェアのディレクトリ%\sui.dll
– %実行されたマルウェアのディレクトリ%\suact\004.act これは以下の内容を含む、悪意のないテキスト・ファイルです：
   • 004.act

– %実行されたマルウェアのディレクトリ%\suact\011.act これは以下の内容を含む、悪意のないテキスト・ファイルです：
   • 011.act

– %実行されたマルウェアのディレクトリ%\suact\013.act これは以下の内容を含む、悪意のないテキスト・ファイルです：
   • 013.act

– %実行されたマルウェアのディレクトリ%\suact\015.act これは以下の内容を含む、悪意のないテキスト・ファイルです：
   • 015.act

– %実行されたマルウェアのディレクトリ%\wint.ini
– %SYSDIR%\winte.html
– %実行されたマルウェアのディレクトリ%\suskn\004.sns
– %実行されたマルウェアのディレクトリ%\suskn\011.sns
– %実行されたマルウェアのディレクトリ%\suskn\013.sns
– %実行されたマルウェアのディレクトリ%\suskn\015.sns
– %SYSDIR%\ierror.rep これは以下の内容を含む、悪意のないテキスト・ファイルです：
   • [%現在の日付%][%現在の時間%]#PROGRAMM INSTALLED!#


– %実行されたマルウェアのディレクトリ%\sei.dll
– %実行されたマルウェアのディレクトリ%\sucontr\UVER.ctr これは以下の内容を含む、悪意のないテキスト・ファイルです：
   • 1.12

レジストリ以下のキーを追加してbrowser helper object(BHO)を登録します。

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}]

以下のレジストリ・キーが追加されます：

– [HKCR\CLSID\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}\InprocServer32]
   • @="%実行されたマルウェアのディレクトリ%\msupdate.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}\ProgID]
   • @="msupdate.Microsoft Update Service"

– [HKCR\CLSID\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}]
   • @="NETWORK SERVICE"

– [HKCR\msupdate.Microsoft Update Service]
   • @="NETWORK SERVICE"

– [HKCR\msupdate.Microsoft Update Service\Clsid]
   • @="{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}"

バックドア サーバに接続します。
以下のもの：
   • http://oxygunn.com/aerodrom/**********
   • http://oxygunn.com/aerodrom/**********
   • http://oxygunn.com/aerodrom/**********

結果、いくつかの情報を送る可能性があります。これはPHPスクリプトを使ったHTTP POSTのメソッドトを通して行われます。

以下についての情報を送ります：
    • 現在のマルウェアのステータス
    • 窃盗セクションに説明されている収集された情報
    • システム・タイム

窃盗以下の情報を盗もうとします：

– ウェブサイトを訪問した後ログインを開始します：
   • barclays.co.uk
   • hsbc.co.uk
   • olb2.nationet.com
   • deutsche-bank.de
   • nwolb.com
   • co-operativebank.co.uk
   • my.if.com
   • smile.co.uk
   • cahoot.com
   • webbank.openplan.co.uk
   • anbusiness.com
   • https://olb2.nationet.com/MyAccounts/
   • https://olb2.nationet.com
   • https://ibank.barclays.co.uk/olb/q/LoginPasscode
   • https://ibank.barclays.co.uk/olb/q/LoginMember.do
   • https://welcome6.co-operativebank.co.uk/CBIBSWeb/loginSpi.do
   • https://welcome6.co-operativebank.co.uk/CBIBSWeb/start.do

ファイルの詳細 プログラム言語:
このマルウェアプログラムはDelphi(デルファイ)で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• ASPack

簡単な説明はココにあります。.

この説明は Iulia Diaconescu によって Mon, 20 Mar 2006 17:11 (GMT+1) 書き込まれました。
この説明は Iulia Diaconescu によって Tue, 21 Mar 2006 11:06 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back