VírusTR/Spy.Banke.any.97
Data em que surgiu:25/07/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:298.724 Bytes
MD5 checksum:630E56d0cfff769f886dac4d8da4c10E
Versão VDF:6.35.01.00 - terça-feira, 25 de julho de 2006
Versão IVDF:6.35.01.00 - terça-feira, 25 de julho de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Bitdefender: Trojan.Spy.Delf.KG


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Informação de roubos

 Registry (Registo do Windows) – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Msn Messenger"="%SYSDIR%\msnmgr.scr"



É adicionada a seguinte chave de registo:

– HKCU\Msn Messenger

 E-mail Não tem a sua própria rotina de propagação mas tem capacidade para enviar um e-mail. É provável que o destinatário seja o autor. As características são as seguintes:


De:
O remetente do e-mail é o seguinte:
   • "Senhas - %nome do computador%" <chegoubom@terra.com.mx>


Para:
– O seguinte endereço de e-mail :
   • teste005@gmail.com


Assunto:
O seguinte:
   • Msn Atualizado 12/07/06



Corpo:

   • Usuario Msn: %informação roubada%
     Pass : %informação roubada%
     .



O email pode ser parecido com o seguinte:


 Mailing MX Server:
Tem capacidade para contactar o servidor MX:
   • smtp.terra.com.mx

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Exploit:
Faz uso do seguinte Exploit:
– MS04-007 (ASN.1 Vulnerability)

 Roubos de informação Tenta roubar a seguinte informação:

– A palavra-chave do seguinte programa:
   • MSN Messenger

–É exibida uma janela do Windows semelhante à seguinte:


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Marius T. Nicolae em quarta-feira, 20 de setembro de 2006
Descrição atualizada por Marius T. Nicolae em quarta-feira, 20 de setembro de 2006

Voltar . . . .