VírusTR/Spy.Banke.any.89
Data em que surgiu:12/07/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:822.904 Bytes
MD5 checksum:48cbfa5f08bab42cb79bdefc7795ff30
Versão VDF:6.35.00.154
Versão IVDF:6.35.00.193 - quinta-feira, 20 de julho de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Banker.ark
   •  Sophos: Troj/Bnkmr-Fam
   •  VirusBuster: TrojanSpy.Banker.DWK


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %ALLUSERSPROFILE%\start menu\programs\startup\amsn.exe

 Registry (Registo do Windows) É adicionada a seguinte chave de registo:

– HKCR\Software\Microsoft\Windows\CurrentVersion\Run
   • "amsn"="%WINDIR%\System32%WINDIR%\Config\amsn.exe"

 E-mail Não tem a sua própria rotina de propagação mas tem capacidade para enviar um e-mail. É provável que o destinatário seja o autor. As características são as seguintes:


Formato do email:
De: INFECTADO &ltroger.capellari@gmail.com>
Para: louco.bank@gmail.com <louco.bank@gmail.com>
Assunto: INFECTADO%nome do computador%
Body:
   • [Infectado OnLine]..:
     Maquina.............: %nome do computador%
     IP..................: %endereço ip actual%
     Data................: %data actual%
     Hora................: %hora actual%
     Verso do Windows...: %sistema operativo% (version %Versão do Windows%)
     |'=========SOURCE BY ROJAO===========
     .
De: BANESPA <BANESPA>
Para: bianca3007@gmail.com <bianca3007@gmail.com>
Assunto: CHEGOU C/C %nome do computador%
Body:
   • '
     [Infectado OnLine]..:
     Maquina.............: %nome do computador%
     IP..................: %endereço ip actual%
     Data................: %data actual%
     Hora................: %hora actual%
     Verso do Windows...: %sistema operativo% (version %Versão do Windows%)
     |'=========SOURCE BY ROJAO===========
     BANESPA
     !
     ![Ag]:...........%informação roubada%
     ![Cont]:.........%informação roubada%
     ![Nome Acesso]:..%informação roubada%
     ![Sen]:..........%informação roubada%
     ![Ass E]:........%informação roubada%
     !
     !-=-=-=-=-=-|_PaPaRaZz0_|-=-=-=-=-=-
De: UNIBANCO <UNIBANCO>
Para: bianca3007@gmail.com <bianca3007@gmail.com>
Assunto: CHEGOU C/C %nome do computador%
Body:
   • '
     [Infectado OnLine]..:
     Maquina.............: %nome do computador%
     IP..................: %endereço ip actual%
     Data................: %data actual%
     Hora................: %hora actual%
     Versão do Windows...: %sistema operativo% (version %Versão do Windows%)
     |'=========SOURCE BY ROJAO===========
     Unibanco nem parece Banco :D
     !
     [Agên].........: %informação roubada%
     [Con-Dig]......: %informação roubada%
     [SeCont].......: %informação roubada%
     [AssElet]......: %informação roubada%
     [NascimE]......: %informação roubada%
     
     !=========SOURCE BY ROJAO==========



O email pode ser parecido com um dos seguintes:




 Mailing MX Server:
Tem capacidade para contactar o servidor MX:
   • gsmtp185.google.com

 Roubos de informação – É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites:
   • http://www.banespa.com.br/
   • http://www.unibanco.com.br/

– Captura:
    • Informação de login

–São exibidas janelas do Windows semelhantes às seguintes:







 Informações diversas Mutex:
Cria o seguinte Mutex:
   • fataL MuTexXx

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Ionut Slaveanu em quarta-feira, 30 de agosto de 2006
Descrição atualizada por Andrei Ivanes em quinta-feira, 14 de setembro de 2006

Voltar . . . .