VírusTR/Spy.Bancodor.AB
Data em que surgiu:12/04/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:41.472 Bytes
MD5 checksum:62417a81023a5ae1dfce61709824d49b
Versão VDF:6.34.00.176

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Backdoor.Win32.Bancodor.ab
   •  TrendMicro: TSPY_AGENT.BRF
   •  Bitdefender: Trojan.Spy.Bancodor.A


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %PROGRAM FILES%\Common Files\System\lsass.exe



São criados os seguintes ficheiros:

– Ficheiros temporários que poderam ser apagados mais tarde:
   • C:\bkup.reg
   • %SYSDIR%\divx.ini
   • %SYSDIR%\%uma série de caracteres aleatórios%.tmp.log

%SYSDIR%\divx.ini É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %informação roubada%

%SYSDIR%\winaupd.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Spy.Bancodo.AB.2

%SYSDIR%\xvid.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Spy.Bancodo.AB.4

%SYSDIR%\nUn.b Contém parâmetros utilizados pelo malware.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • system = %PROGRAM FILES%\Common Files\system\lsass.exe



As seguintes chaves de registo e todos os valores são eliminados:
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
   • [HKCU\Software\Microsoft\Internet Explorer\TypedURLs]
   • [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %SYSDIR%\userinit.exe = %SYSDIR%\userinit.exe:*:Enabled:Userinit



Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Windows]
   Valor recente:
   • System =
   • Shell = Explorer.exe

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Valor anterior:
   • Start = %definições do utilizador %
   Valor recente:
   • Start = 2

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
   Valor anterior:
   • ServiceDll = %SYSDIR%\wuauserv.dll
   Valor recente:
   • ServiceDll = %SYSDIR%\winaupd.dll

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • SFCDisable = 0
   Valor recente:
   • SFCDisable = ffffff9d
   • SFCScan = 0

Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Internet Explorer]
   Valor recente:
   • SearchURL =

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valor recente:
   • Default_Search_URL =
   • Search Page = www.microsoft.com/isapi/redir.dllprd = ie&ar = iesearch
   • Search Bar =
   • SearchURL =
   • Window_Placement =

– [HKCU\Software\Microsoft\Internet Explorer\Search]
   Valor recente:
   • SearchAssistant =

– [HKCU\Software\Micrsoft\Internet Explorer\Toolbar\WebBrowser]
   Valor recente:
   • ITBarLayout =

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search]
   Valor recente:
   • SearchAssistant = ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
   • CustomizeSearch = ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
   Valor recente:
   • NavigationFailure = res://shdoclc.dll/navcancl.htm
   • DesktopItemNavigationFailure = res://shdoclc.dll/navcancl.htm
   • NavigationCanceled = res://shdoclc.dll/navcancl.htm
   • OfflineInformation = res://shdoclc.dll/offcancl.htm
   • blank = res://mshtml.dll/blank.htm
   • PostNotCached = res://mshtml.dll/repost.htm
   • mozilla = res://mshtml.dll/about.moz

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   Valor recente:
   • Default_Page_URL = about:blank
   • Default_Search_URL = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Search Page = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Local Page =
   • Start Page = about:blank

– [HKU\.Default\Software\Microsoft\Internet Explorer]
   Valor recente:
   • SearchURL =

– [HKU\.Default\Software\Microsoft\Internet Explorer\Main]
   Valor recente:
   • Search Page = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Default_Search_URL =
   • Search Bar =
   • Local Page =
   • Start Page =

– [HKU\.Default\Software\Microsoft\Internet Explorer\Search]
   Valor recente:
   • SearchAssistant =

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valor recente:
   • Check_Associations = yes

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor recente:
   • NoSaveSettings = 0

– [HKCU\Software\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Policies\Microsoft\
   Internet Explorer\Control Panel]
   Valor recente:
   • Check_If_Default = 0

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   Valor recente:
   • Check_If_Default = 0

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor recente:
   • SeparateProcess = 0

 Terminar o processo A seguinte lista de processos são terminados:
   • WINLDRA.EXE; NETSCAPE.EXE; OPERA.EXE; FIREFOX.EXE; MOZILLA.EXE;
      M00.EXE; WINTBPX.EXE; SWCHOST.EXE; SVOHOST.EXE; SVC.EXE; WINSOCK.EXE;
      SPOOLS.EXE; KERNELS32.EXE; mwfibpx.exe; nod32kui.exe; mcupdate.exe;
      mw1hel~1.exe; realsched.exe; tbon.exe; pucxyloo.exe; mouse32a.exe;
      winupdates.exe; backweb-; qttask.exe; mediagateway.exe; sox1.exe;
      shstat.exe; SpyAxe.exe; xcommsvr.exe; rwnt.exe; shost.exe;
      MouseElf.exe; aimexdll.exe; batserv2.exe; Elogerr.exe; sysc.exe;
      stopads.exe; istsvc.exe; uwfx5.exe; dazzler.exe; secure.exe;
      spoolsrv32.exe; ibm00001.exe; kernels64.exe; driver64.exe;
      paytime.exe; type32.exe; mediapipe.exe; adduz32.exe; itbill.exe;
      spysheriff.exe; apifl.exe; drsmartloadb.exe; gcasserv.exe; mpp2pl.exe;
      unspypc.exe; realsched.exe; isstart.exe; logitray.exe; winstall.exe;
      statusclient.exe; mpcsvc.exe; backorif.exe; NopeZ.exe; usrprmpt.exe;
      netnw.exe; hpbpsttp.exe; nvarem.exe; apifl.exe; UnSpyPC.exe


 Backdoor Contacta o servidor:
Seguinte:
   • http://www.southsea.cc/news/**********

Como resultado pode enviar alguma informação. Também, repete a ligação periodicamente. Isto é feito usando o método HTTP POST através de scripts PHP.
A resposta do servidors é escrita no ficheiro: %SYSDIR%\xvid.ini


Envia informação sobre:
    • Palavras-chave armazenadas
    • Logfiles criados
    • Variáveis de ambiente
    • Situação actual de malware
    • Informação sobre processos em execução
    • Informação recolhida na secção de roubos.

 Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave digitadas em 'campos de entrada de palavras-chave'
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– É iniciada uma rotina de logging depois de visitar um Web site:
   • %qualquer website que contenha um formulário de login%

– Captura:
    • Janela de informação
    • Informação de login

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %SYSDIR%\xvid.dll

    Nome do processo:
   • %são iniciados todos os processos logo que o malware fica activo
      na memória%


 Informações diversas Mutex:
Cria o seguinte Mutex:
   • _Toolbar_Class_32


Reparar o ficheiro:
Para desactivar o Windows File Protection (WPF) tem capacidade para modificar o ficheiro sfc_os.dll no posição 000E2B8. O WPF serve para evitar alguns dos actuais problemas de inconsistência dos DLL.

 Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.


Oculta o seguinte:
– O seu próprio processo

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Andrei Gherman em quinta-feira, 13 de abril de 2006
Descrição atualizada por Andrei Gherman em quinta-feira, 13 de abril de 2006

Voltar . . . .