Full description

Vírus	TR/Dldr.Delf.tp.1.A
Data em que surgiu:	15/09/2005
Tipo:	Trojan
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	385.536 Bytes
MD5 checksum:	d905b68eea607dfd2fdc6bc21278abfd
Versão VDF:	6.31.1.188

Vulgarmente Alias:
   • Mcafee: PWS-Banker.gen.i
   • Kaspersky: Trojan-Spy.Win32.Banker.acb

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos

Ficheiros Elimina os seguintes ficheiros:
   • %temporary internet files%\*.*
   • %cookies%\*.*

São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %WINDIR%\Filespro\Tales\Local\barra2-PROGRESS.bmp;
      %WINDIR%\Filespro\Tales\Local\barra_brad.bmp;
      %WINDIR%\Filespro\Tales\Local\barra_progress.bmp;
      %WINDIR%\Filespro\Tales\Local\bt_confirma.bmp;
      %WINDIR%\Filespro\Tales\Local\bt_retornaCX.bmp;
      %WINDIR%\Filespro\Tales\Local\cadeado.bmp;
      %WINDIR%\Filespro\Tales\Local\campo_CX.bmp;
      %WINDIR%\Filespro\Tales\Local\caps.bmp;
      %WINDIR%\Filespro\Tales\Local\err_bb.bmp;
      %WINDIR%\Filespro\Tales\Local\logoPF.bmp;
      %WINDIR%\Filespro\Tales\Local\logo_BB.bmp;
      %WINDIR%\Filespro\Tales\Local\senha_AMARELA.bmp;
      %WINDIR%\Filespro\Tales\Local\senha_GER.bmp;
      %WINDIR%\Filespro\Tales\Local\teclado_CX.bmp;
      %WINDIR%\Filespro\Tales\Local\tela2_BB.bmp;
      %WINDIR%\Filespro\Tales\Local\tela_Bradesco_senha.bmp;
      %WINDIR%\Filespro\Tales\Local\tela_brad_sencartao.bmp;
      %WINDIR%\Filespro\Tales\Local\tela_caixa_assinatura.bmp;
      %WINDIR%\Filespro\Tales\Local\topo2.bmp;
      %WINDIR%\Filespro\Tales\Local\TV_PJ.bmp; %WINDIR%\winnavps\bb\1234.jar;
      %WINDIR%\winnavps\bb\banner012.jpg; %WINDIR%\winnavps\bb\banner03.gif;
      %WINDIR%\winnavps\bb\banner13.gif; %WINDIR%\winnavps\bb\barra_ger.jpg;
      %WINDIR%\winnavps\bb\barsep.gif; %WINDIR%\winnavps\bb\certificacao.gif;
      %WINDIR%\winnavps\bb\cópia de gerenciador.html;
      %WINDIR%\winnavps\bb\do.gif; %WINDIR%\winnavps\bb\erro_bb.html;
      %WINDIR%\winnavps\bb\erro_gerenciador.html;
      %WINDIR%\winnavps\bb\gerenciador.html;
      %WINDIR%\winnavps\bb\gerenciador2.html; %WINDIR%\winnavps\bb\imagem01.gif;
      %WINDIR%\winnavps\bb\imagem02.gif; %WINDIR%\winnavps\bb\imagem06.gif;
      %WINDIR%\winnavps\bb\imagem07.gif; %WINDIR%\winnavps\bb\imagem10.gif;
      %WINDIR%\winnavps\bb\imagem11.gif; %WINDIR%\winnavps\bb\imagem19.gif;
      %WINDIR%\winnavps\bb\imagem20.gif; %WINDIR%\winnavps\bb\imagem21.gif;
      %WINDIR%\winnavps\bb\imgentra.gif; %WINDIR%\winnavps\bb\imglimpa.gif;
      %WINDIR%\winnavps\bb\inicio.gif; %WINDIR%\winnavps\bb\lbg.gif;
      %WINDIR%\winnavps\bb\linha.gif; %WINDIR%\winnavps\bb\msg_1.gif;
      %WINDIR%\winnavps\bb\principal.html; %WINDIR%\winnavps\bb\prod3.gif;
      %WINDIR%\winnavps\bb\pt.gif; %WINDIR%\winnavps\bb\pt10.gif;
      %WINDIR%\winnavps\bb\pt11.gif; %WINDIR%\winnavps\bb\pt12.gif;
      %WINDIR%\winnavps\bb\pt13.gif; %WINDIR%\winnavps\bb\ptc1.gif;
      %WINDIR%\winnavps\bb\ptc2.gif; %WINDIR%\winnavps\bb\ptc3.gif;
      %WINDIR%\winnavps\bb\ptc4.gif; %WINDIR%\winnavps\bb\ptt.gif;
      %WINDIR%\winnavps\bb\rdc.gif; %WINDIR%\winnavps\bb\rdl.gif;
      %WINDIR%\winnavps\bb\sua.jpg; %WINDIR%\winnavps\bb\tcvirtu.gif;
      %WINDIR%\winnavps\bb\tracoh.gif; %WINDIR%\winnavps\bb\tracoh2.gif;
      %WINDIR%\winnavps\bb\tracoh_1.gif; %WINDIR%\winnavps\bb\tracoh_1_2.gif;
      %WINDIR%\winnavps\bb\tracoh_1_3.gif; %WINDIR%\winnavps\bb\tracov.gif;
      %WINDIR%\winnavps\bb\tracov2.gif; %WINDIR%\winnavps\bb\tracov3.gif;
      %WINDIR%\winnavps\bb\tracov_1.gif; %WINDIR%\winnavps\bb\tracov_1_2.gif;
      %directório de execução do malware%\ibb011.cfg; %directório
      de execução do malware%\tsuname2.txt; %directório de execução
      do malware%\brad11.cfg; %directório de execução do
      malware%\tsuname4.txt

Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/barra2-PROGRESS.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\barra2-PROGRESS.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/barra_brad.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\barra_brad.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/barra_progress.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\barra_progress.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/bt_confirma.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\bt_confirma.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/bt_retornaCX.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\bt_retornaCX.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/cadeado.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\cadeado.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/campo_CX.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\campo_CX.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/caps.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\caps.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/err_bb.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\err_bb.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/logoPF.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\logoPF.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/logo_BB.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\logo_BB.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/senha_AMARELA.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\senha_AMARELA.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/senha_GER.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\senha_GER.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/teclado_CX.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\teclado_CX.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/tela2_BB.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\tela2_BB.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/tela_Bradesco_senha.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\tela_Bradesco_senha.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/tela_brad_sencartao.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\tela_brad_sencartao.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/tela_caixa_assinatura.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\tela_caixa_assinatura.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/topo2.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\topo2.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/TV_PJ.html
Encontra-se no disco rígido: %WINDIR%\Filespro\Tales\Local\TV_PJ.zip

– A partir da seguinte localização:
   • http://**********.vilabol.uol.com.br/qqq.html
Encontra-se no disco rígido: %WINDIR%\winnavps\bbb.bck

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "irwftp"="%SYSDIR%\swshost.exe"

E-mail Não tem a sua própria rotina de propagação mas tem capacidade para enviar um e-mail. É provável que o destinatário seja o autor. As características são as seguintes:

Formato do email:

De: "%nome do computador%" <%nome do computador%edilene.bastos@isbt.com.br>
Para: edilene.bastos@isbt.com.br
Assunto: Confirmei-ROYALTIES_BLACK
Body:
   • %data actual% - %hora actual%
      %nome do computador%

De: "%nome do computador%" <%nome do computador%astra22gsi@isbt.com.br>
Para: astra22gsi@isbt.com.br
Assunto: Confirmei-ROYALTIES_BLACK
Body:
   • %data actual% - %hora actual%
      %nome do computador%

De: "%nome do computador%" <%nome do computador%edilene.bastos@isbt.com.br>
Para: edilene.bastos@isbt.com.br
Assunto: Skol_p-ROYALTIES_BLACK
Body:
   • %data actual% - %hora actual%
      %nome do computador%
Atalho:
   • tsuname4.txt

De: "%nome do computador%" <%nome do computador%astra22gsi@isbt.com.br>
Para: astra22gsi@isbt.com.br
Assunto: Skol_p-ROYALTIES_BLACK
Body:
   • %data actual% - %hora actual%
      %nome do computador%
Atalho:
   • tsuname4.txt

De: "%nome do computador%" <%nome do computador%edilene.bastos@isbt.com.br>
Para: edilene.bastos@isbt.com.br
Assunto: Coca-cola-ROYALTIES_BLACK
Body:
   • %data actual% - %hora actual%
      %nome do computador%
Atalho:
   • tsuname2.txt

De: "%nome do computador%" <%nome do computador%astra22gsi@isbt.com.br>
Para: astra22gsi@isbt.com.br
Assunto: Coca-cola-ROYALTIES_BLACK
Body:
   • %data actual% - %hora actual%
      %nome do computador%
Atalho:
   • tsuname2.txt

O email pode ser parecido com o seguinte:

Mailing MX Server:
Tem capacidade para contactar o servidor MX:
• smtp.isbt.com.br

Roubos de informação – É iniciada uma rotina de logging depois de visitar um Web site:
   • https://www2.bancobrasil.com.br/aapf/aai/login.pbk

– É iniciada uma rotina de logging depois de visitar um Web site, que contenha o seguinte texto no URL:
   • http://www.bradesco.com.br

– Captura:
    • Teclar
    • Informação de login

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Delphi.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• ASPack 2.12

Descrição enviada por Iulia Diaconescu em sexta-feira, 16 de setembro de 2005
Descrição atualizada por Iulia Diaconescu em terça-feira, 20 de setembro de 2005

Voltar . . . .

Proteçao especial para PCs

Produtos gratuitos

Produtos mais populares

Todos os produtos

Soluçoes em pacote

Estaçoes de trabalho

Server

Soluçoes em pacote

Mail Gateways

Web Gateways

Plataformas de colaboraçao

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas