VírusTR/Dldr.Banker.GA.1
Data em que surgiu:25/07/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:42.496 Bytes
MD5 checksum:06bf129bba13d220406a6ce5739d63a1
Versão VDF:6.35.01.000
Versão IVDF:6.35.01.000

 Vulgarmente Alias:
   •  Symantec: Infostealer.Snifula
   •  Kaspersky: Trojan-Spy.Win32.Small.gf
   •  Sophos: Troj/FireSpy-A


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\138762763.exe



É acrescentada uma secção a um ficheiro.
– Para: %APPDATA%\Mozilla\Firefox\Profiles\%oito caracteres aleatórios%.default\extensions.ini Com os conteúdos seguintes:
   • [ExtensionDirs]
     Extension0=%APPDATA%\Mozilla\Firefox\Profiles\5yxkpuhr.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\install.rdf




São criados os seguintes ficheiros:

%PROGRAM FILES%\Mozilla Firefox\Components\AppInterConn.xpt
%PROGRAM FILES%\Mozilla Firefox\Components\AppInterConn.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Agent.SN.4

– %APPDATA%\Mozilla\Firefox\Profiles\%oito caracteres aleatórios%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\install.rdf
– %APPDATA%\Mozilla\Firefox\Profiles\%oito caracteres aleatórios%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\chrome.manifest
– %APPDATA%\Mozilla\Firefox\Profiles\%oito caracteres aleatórios%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\chrome\numberedlinks.jar
– %APPDATA%\Mozilla\Firefox\Profiles\%oito caracteres aleatórios%.default\chrome\overlayinfo\browser\content\overlays.rdf
– %APPDATA%\Mozilla\Firefox\Profiles\%oito caracteres aleatórios%.default\chrome\chrome.rdf

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "stup"="%SYSDIR%\138762763.exe"



É adicionada a seguinte chave de registo:

– HKCU\Software\keys
   • "k2"=%número hexadecimal%
   • "k1"=%número hexadecimal%

 Backdoor Contacta o servidor:
Seguinte:
   • 81.95.147.107/cgi-bin/**********

Isto é feito usando o método HTTP GET através de scripts CGI.


Envia informação sobre:
    • Informação recolhida na secção de roubos.

 Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave digitadas em 'campos de entrada de palavras-chave'

– É iniciada uma rotina de logging depois de visitar um Web site:
   • %qualquer website que contenha um formulário de login%

– Captura:
    • Informação de login

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • kjhskdhkjshfd_Mutex

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Bogdan Iliuta em sexta-feira, 28 de julho de 2006
Descrição atualizada por Bogdan Iliuta em segunda-feira, 31 de julho de 2006

Voltar . . . .