Nume:TR/Spy.Banke.any.97
Descoperit pe data de:25/07/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:298.724 Bytes
MD5:630E56d0cfff769f886dac4d8da4c10E
Versiune VDF:6.35.01.00 - terça-feira, 25 de julho de 2006
Versiune IVDF:6.35.01.00 - terça-feira, 25 de julho de 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Bitdefender: Trojan.Spy.Delf.KG


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii

 Registrii sistemului – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Msn Messenger"="%SYSDIR%\msnmgr.scr"



Se adauga in registrii sistemului:

– HKCU\Msn Messenger

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


De la:
Expeditorul email-ului este urmatorul:
   • "Senhas - %numele computerului%" <chegoubom@terra.com.mx>


Catre:
– Urmatoarea adresa de email:
   • teste005@gmail.com


Subiect:
Urmatorul:
   • Msn Atualizado 12/07/06



Corpul email-ului:

   • Usuario Msn: %informatiile sustrase%
     Pass : %informatiile sustrase%
     .



Email-ul arata astfel:


 Email Server MX:
Se poate conecta la serverul MX:
   • smtp.terra.com.mx

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS04-007 (ASN.1 Vulnerability)

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– Parola din programul:
   • MSN Messenger

–O fereastra cu un formular este deschisa, asa cum este prezentat în imagine:


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Marius T. Nicolae em quarta-feira, 20 de setembro de 2006
Descrição atualizada por Marius T. Nicolae em quarta-feira, 20 de setembro de 2006

Voltar . . . .