VírusTR/Spy.Banker.bpk
Data em que surgiu:19/07/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:825.912 Bytes
MD5 checksum:b6d73ad77f9c87df6853e121cfd4c98c
Versão VDF:6.35.00.184
Versão IVDF:6.35.00.224

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: Infostealer.Bancos!gen
   •  Mcafee: PWS-Banker.gen.g
   •  Kaspersky: Trojan-Spy.Win32.Banker.ark
   •  TrendMicro: TSPY_BANKER.AFK
   •  Sophos: Troj/Bnkmr-Fam
   •  Bitdefender: Trojan.Spy.Banker.WVC


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %ALLUSERSPROFILE%\start menu\programs\startup\amsn.exe

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKCR\Software\Microsoft\Windows\CurrentVersion\Run]
   • "amsn"="%WINDIR%\Config\amsn.exe"

 E-mail Não tem a sua própria rotina de propagação mas tem capacidade para enviar um e-mail. É provável que o destinatário seja o autor. As características são as seguintes:


De:
O endereço do remetente é falsificado.
O remetente do e-mail é um dos seguintes:
   • INFECTADO
   • CAIXAECONOMICA
   • BANCODOBRASIL
   • UNIBANCO
   • BANESPA


Para:
O destinatário do e-mail é o seguinte:
   • gsmtp.smtp@gmail.com


Assunto:
Um dos seguintes:
   • %nome do computador%
   • CHEGOU C/C BUFUNFA %nome do computador%



Corpo:
Às vezes inicia com o seguinte:

   • [Infectado OnLine]..:
     Maquina.............: %nome do computador%
     IP..................: %endereço ip actual%
     Data................: %data actual%
     Hora................: %hora actual%
     Versão do Windows...: %Versão do Windows%
     |'=========SOURCE BY ROJAO===========
     
     

   • Demonio FEDERAL
     !
     [Caixa Tip].............:
     [Caixa Agê].............:
     [Caixa Con].............:
     [Caixa SeNet]...........:
     [Caixa AssElet].........:
     !
     !==========SOURCE BY ROJAO=============

   • Unibanco nem parece Banco :D
     [Con-Dig]......:
     [SeCont].......:
     [AssElet]......:
     [NascimE]......:
     !=========SOURCE BY ROJAO==========

   • BANESPA
     [Cont]:.........:
     [Nome Acesso]:..:
     [Sen]:..........:
     [Ass E]:........:
     ==============SOURCE BY ROJAO============



O email pode ser parecido com um dos seguintes:



 Mailing MX Server:
Tem capacidade para contactar o servidor MX:
   • gsmtp185.google.com

 Roubos de informação Tenta roubar a seguinte informação:

– É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites:
   • http://www.caixa.gov.br/_redirect/links/r_internetcaixa.asp
   • http://www.bancodobrasil.com.br/appbb/portal/index.jsp
   • http://www.santanderbanespa.com.br/portal/gsb/script/templates/GCMRequest.do?page=50

– Captura:
    • Informação de login

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • fataL MuTexXx

Descrição enviada por Gabriel Mustata em terça-feira, 3 de outubro de 2006
Descrição atualizada por Andrei Ivanes em terça-feira, 24 de outubro de 2006

Voltar . . . .