English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Spy.Banker.bpj
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TR/Spy.Banker.bpj - Trojan
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
TR/Spy.Banker.bpj
発見日:
19/07/2006
タイプ
トロイの木馬
感染報告有り
いいえ
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
低~中
スタティック・ファイル
はい
ファイル・サイズ
285.184 バイト
MD5 チェックサム
c3d013ce5cef94c914fa570C945a231f
VDFファージョン:
6.35.00.184
- Wed, 19 Jul 2006 09:40 (GMT+1)
IVDFファージョン:
6.35.00.224
一般情報
感染方法
• それ自体に伝染能力はない
別名
• Kaspersky(カスペルスキー) Trojan-Spy.Win32.Banker.bpj
• TrendMicro(トレンドマイクロ) TSPY_BANKER.BVM
• Sophos(ソフォス) Troj/Banker-LCR
• ビットディフェンダー(Bitdefender): Trojan.Spy.Banker.WVA
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• ファイルを作成します。
• レジストリの改変。
• 情報を盗みます。
• サード・パーティ・コントロール
起動後以下の情報が表示されます:
実行後、それは以下のウインドウを表示するアプリケーションを開始します:
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\winsp II\Services.exe
以下のディレクトリを作成します:
•
%SYSDIR%
\winsp II
以下のファイルが作成されます:
–
%SYSDIR%
\servicesxpnt.dll このファイルは入力されたキーについて収集された情報を含みます。
以下のファイルを起動しようとします:
– 以下のファイルのうちのどれかを起動しようとします:
•
%ランダムなディレクトリ%
\IExplore.exe
以下のコマンドラインのパラメータのファイルを起動します: www_getwindowinfo
レジストリ
以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Services"="
%SYSDIR%
\winsp II\Services.exe"
以下のレジストリ・キーが追加されます:
– HKCU\Services
Eメール
それ自身に伝染する能力はありませんが、メールを送る能力はあります。たいていは受信者が作成者になっているようです。特徴は下記のようになっています:
送信者
送信者のアドレスは改変されています(spoof)。
メールの送信者は以下の通りです:
• "
%コンピュータ名%
" <cristinacastro007@gmail.com>
宛先:
メールの受信者は以下の通りです:
• cristinacastro007@gmail.com
件名
以下のもの:
• confirmando =?ISO-8859-1?Q?atualiza=E7=E3o?=
sp2
%コンピュータ名%
本文
メールの本文は以下の通りです:
•
%盗まれた情報%
メールは以下のようなものです:
送信
MXサーバ
MXサーバにつなげる能力があります。
• gsmtp185.google.com
バックドア
サーバに接続します。
以下のうちのどれか1つ:
• http://zptq.no.sapo.pt/**********
結果、リモート・コントロール機能が生まれます。 これはCGIスクリプトを使ったHTTP GETのリクエストを通して行われます。
サーバの回答がファイルに書き込まれます:
%SYSDIR%
\itlzxp.dll
リモート・コントロール機能
• ダウンロード・ファイル
窃盗
以下の情報を盗もうとします:
– ウェブサイトを訪問した後ログインを開始します:
• http://citibank.com
• http://www.uol.com.br
– 取り込むのは:
• ウインドウ情報
• ブラウザ・ウインドウ
ファイルの詳細
プログラム言語:
このマルウェアプログラムはDelphi(デルファイ)で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• UPX
簡単な説明は
ココ
にあります。.
この説明は Marius T. Nicolae によって Mon, 11 Sep 2006 15:38 (GMT+1) 書き込まれました。
この説明は Marius T. Nicolae によって Mon, 11 Sep 2006 15:57 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.AT
TR/Crypt.CFI.Gen
Worm/Mytob.U
Worm/Mytob.AD
Worm/Klez.E
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
JS/Dldr.Agent.cex
TR/Dldr.Tiny.bqw
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
