VírusTR/Banker.Delf.EC
Data em que surgiu:16/02/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:1.560.472 Bytes
MD5 checksum:6a154e0A90f45202ec2d42e9a71a1b03
Versão VDF:6.33.01.01 - quinta-feira, 16 de fevereiro de 2006
Versão IVDF:6.33.01.01 - quinta-feira, 16 de fevereiro de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  TrendMicro: TSPY_BANKER.EZT


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\AntiVirus.scr
   • %SYSDIR%\smsss.exe
   • %ALLUSERSPROFILE%\start menu\programs\startup\AntiVirus.scr

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "AntiVirus"="%SYSDIR%\AntiVirus.scr"



É adicionada a seguinte chave de registo:

– HKCU\SOFTWARE\MICROSOFT\MS SETUP (ACME)\

 E-mail Não tem a sua própria rotina de propagação mas tem capacidade para enviar um e-mail. É provável que o destinatário seja o autor. As características são as seguintes:


De:
O endereço do remetente é falsificado.
O remetente do e-mail é um dos seguintes:
   • "B.R.A.V.O" <boizao2006@yahoo.com.br>
   • pau 100 mil


Para:
– O seguinte endereço de e-mail :
   • gracelltda@gmail.com


Assunto:
Um dos seguintes:
   • $DINHEIRO$
   • $DINHEIRO$%name of the bank%
   • ESSE =?ISO-8859-1?Q?=C9?= FORTE= %name of the computer%



Corpo:

   • %informação roubada%



O email pode ser parecido com um dos seguintes:



 Roubos de informação – É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites:
   • http://www.bancorural.com.br/
   • unibanco.com.br
   • bradesco.com.br/scripts/
   • https://carrinho.americanas.com.br/portal/acom.portal?_nfpb=true&portlet_payment_actionOverride=#portlets#payment%
   • https://www.submarino.com.br/Payment.asp?AddrId=&Atm=
   • https://www2.rural.com.br/RuralIBank/principal.jsp
   • banknet.brb.com.br/iBanking
   • www.bec.com.br
   • bancoreal.com.br
   • http://www.bancoreal.com.br/
   • http://www.bancoreal.com.br
   • https://wwws.nossacaixa.com.br/bemvindo.asp
   • itau.com.br

– Captura:
    • Informação de login

–São exibidas janelas do Windows semelhantes às seguintes:




 Informações diversas Mutex:
Cria o seguinte Mutex:
   • fataL MuTexXx

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Marius T. Nicolae em sexta-feira, 1 de setembro de 2006
Descrição atualizada por Marius T. Nicolae em segunda-feira, 18 de setembro de 2006

Voltar . . . .