TR/Spy.Banker.bpk - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/Spy.Banker.bpk
発見日：	19/07/2006
タイプ	トロイの木馬
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	825.912 バイト
MD5　チェックサム	b6d73ad77f9c87df6853e121cfd4c98c
VDFファージョン：	6.35.00.184 - Wed, 19 Jul 2006 09:40 (GMT+1)
IVDFファージョン：	6.35.00.224

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Symantec(シマンテック) Infostealer.Bancos!gen
   • McAfee(マカフィー) PWS-Banker.gen.g
   • Kaspersky(カスペルスキー) Trojan-Spy.Win32.Banker.ark
   • TrendMicro(トレンドマイクロ） TSPY_BANKER.AFK
   • Sophos(ソフォス) Troj/Bnkmr-Fam
   • ビットディフェンダー(Bitdefender)： Trojan.Spy.Banker.WVC

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • レジストリの改変。
   • 情報を盗みます。

ファイルそれ自体を以下の場所にコピーします。
• %ALLUSERSPROFILE%\start menu\programs\startup\amsn.exe

レジストリ再起動後そのプロセスを実行するため、以下の値のうちの１つを追加します：

– [HKCR\Software\Microsoft\Windows\CurrentVersion\Run]
• "amsn"="%WINDIR%\Config\amsn.exe"

Eメールそれ自身に伝染する能力はありませんが、メールを送る能力はあります。たいていは受信者が作成者になっているようです。特徴は下記のようになっています:

送信者
送信者のアドレスは改変されています(spoof)。
メールの送信者は以下の通りです：
   • INFECTADO
   • CAIXAECONOMICA
   • BANCODOBRASIL
   • UNIBANCO
   • BANESPA

宛先:
メールの受信者は以下の通りです：
   • gsmtp.smtp@gmail.com

件名
以下のもの：
   • %コンピュータ名%
   • CHEGOU C/C BUFUNFA %コンピュータ名%

本文
以下のうちのどれかから始まることがあります：

   • [Infectado OnLine]..:
     Maquina.............: %コンピュータ名%
     IP..................: %現在のIPアドレス%
     Data................: %現在の日付%
     Hora................: %現在の時間%
     Versão do Windows...: %ウインドウズのファージョン%
     |'=========SOURCE BY ROJAO===========



   • Demonio FEDERAL
     !
     [Caixa Tip].............:
     [Caixa Agê].............:
     [Caixa Con].............:
     [Caixa SeNet]...........:
     [Caixa AssElet].........:
     !
     !==========SOURCE BY ROJAO=============

   • Unibanco nem parece Banco :D
     [Con-Dig]......:
     [SeCont].......:
     [AssElet]......:
     [NascimE]......:
     !=========SOURCE BY ROJAO==========

   • BANESPA
     [Cont]:.........:
     [Nome Acesso]:..:
     [Sen]:..........:
     [Ass E]:........:
     ==============SOURCE BY ROJAO============

メールは以下のうちのどれかであることもあります：

送信 MXサーバ
MXサーバにつなげる能力があります。
• gsmtp185.google.com

窃盗以下の情報を盗もうとします：

– ウェブサイトを訪問した後ログインを開始します：
   • http://www.caixa.gov.br/_redirect/links/r_internetcaixa.asp
   • http://www.bancodobrasil.com.br/appbb/portal/index.jsp
   • http://www.santanderbanespa.com.br/portal/gsb/script/templates/GCMRequest.do?page=50

– 取り込むのは：
    • ログイン情報

その他 Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
• fataL MuTexXx

簡単な説明はココにあります。.

この説明は Gabriel Mustata によって Tue, 03 Oct 2006 09:23 (GMT+1) 書き込まれました。
この説明は Andrei Ivanes によって Tue, 24 Oct 2006 16:52 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back