English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Spy.Banker.boa
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TechBlog
TR/Spy.Banker.boa - Trojan
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
TR/Spy.Banker.boa
発見日:
10/07/2006
タイプ
トロイの木馬
感染報告有り
いいえ
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
1.512.448 バイト
MD5 チェックサム
4c3feb3408abb61ea982bd4e6a42c1a4
VDFファージョン:
6.35.00.141
- Mon, 10 Jul 2006 09:24 (GMT+1)
IVDFファージョン:
6.35.00.180
一般情報
感染方法
• それ自体に伝染能力はない
別名
• Kaspersky(カスペルスキー) Trojan-Spy.Win32.Banker.boa
• TrendMicro(トレンドマイクロ) TSPY_BANCOS.MF
• Sophos(ソフォス) Troj/Banker-CZO
• ウイルスバスター trojan TrojanSpy.Banker.EKZ
• ビットディフェンダー(Bitdefender): Trojan.Spy.Banker.CA
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• ファイルを作成します。
• レジストリの改変。
• 情報を盗みます。
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\AntiVirus.exe
以下のファイルが作成されます:
–
%SYSDIR%
\drivers\oreans32.sys
レジストリ
以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "AntiVirus.exe"="
%SYSDIR%
\AntiVirus.exe"
以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:
– HKLM\SYSTEM\CurrentControlSet\Services\oreans32
• "Type"=dword:00000001
• "Start"=dword:00000001
• "ErrorControl"=dword:00000001
• "ImagePath"="\??\
%SYSDIR%
\drivers\oreans32.sys"
• "DisplayName"="oreans32"
– HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security
• "Security"=
%hex値%
– HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum
• "0"="Root\\LEGACY_OREANS32\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
Eメール
それ自身に伝染する能力はありませんが、メールを送る能力はあります。たいていは受信者が作成者になっているようです。特徴は下記のようになっています:
送信者
送信者のアドレスは改変されています(spoof)。
メールの送信者は以下の通りです:
• "Pescado"
• mundomaravilha@gmail.com
宛先:
– 以下のメールアドレス
• boximportante@gmail.com
• boxrexeada@gmail.com
件名
以下のもの:
• Amiga-bvinho
• Bem Vindo-%name of the computer%
本文
• Nome do Computador: %name of the computer%
Ip:
%IP アドレス%
以下のものが続くことがあります:
• Banespa
Numero...............:
%盗まれた情報%
A&C&D................:
%盗まれた情報%
Nome do Infeliz......:
%盗まれた情報%
Entrada..............:
%盗まれた情報%
Confirm..............:
%盗まれた情報%
メールは以下のうちのどれかであることもあります:
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
以下のネットワーク・シェアにそれ自身のコピーを作成します:
• C$
窃盗
– ウェブサイトを訪問した後ログインを開始します:
• https://netbanking2.banespa.com.br
–ウインドウのフォームは下の写真のように表示されます:
その他
Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
• STFK MutexXx
ファイルの詳細
プログラム言語:
このマルウェアプログラムはDelphi(デルファイ)で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。
簡単な説明は
ココ
にあります。.
この説明は Marius T. Nicolae によって Wed, 30 Aug 2006 11:45 (GMT+1) 書き込まれました。
この説明は Marius T. Nicolae によって Thu, 14 Sep 2006 14:45 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.AD
Worm/Bagle.FJ
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Klez.E
TR/PSW.Delf.CRW
TR/Dldr.VB.FSW
DR/Dldr.VB.VYP
TR/Dldr.Renos.CH
TR/Buzus.iij
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2009 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
