VírusTR/Spy.Agent.gct
Data em que surgiu:17/06/2008
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Não
Tamanho:~4.143.000 Bytes
Versão IVDF:7.00.04.210 - terça-feira, 17 de junho de 2008

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: Infostealer
   •  Kaspersky: Trojan-Spy.Win32.Banker.oyi
   •  TrendMicro: TROJ_BANKER.NWL
   •  F-Secure: Trojan-Spy.Win32.Banker.oyi
   •  Panda: Trj/Banker.FWD
   •  Grisoft: PSW.Banker4.AHOP
   •  Eset: probably a variant of Win32/Spy.Banker trojan


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\Internet_Explorer.exe



É criado o seguinte ficheiro:

– C:\001.tmp O ficheiro contém informações recolhidas do sistema.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Internet_Explorer.exe="%SYSDIR%\Internet_Explorer.exe"



É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\FkuCMxHi]
   • htIRtBqg=%valores hex%

 Backdoor Contacta o servidor:
Seguintes:
   • http://www.nutricionchaves.com.ar/**********search/~/_.php
   • http://www.radiomarcatenerife.com/**********/Messages/lang/eng/region.php

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP POST através de scripts PHP.


Envia informação sobre:
    • Nome do computador
    • Endereço IP
    • Endereço MAC
    • Informação recolhida na secção de roubos.
    • Hora de Sistema
    • o URL visitado

 Roubos de informação – É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites:
   • http://www.bb.com.br
   • http://www.unibanco.com
   • http://www.itau.com.br
   • http://www.bradesco.com.br
   • http://www.santander.com.br

– Captura:
    • Informação de login

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Thomas Wegele em quarta-feira, 6 de agosto de 2008
Descrição atualizada por Thomas Wegele em quarta-feira, 6 de agosto de 2008

Voltar . . . .