VírusTR/Spy.Banker.mxp
Data em que surgiu:26/11/2008
Tipo:Trojan
Subtipo:Spy
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Não
Tamanho:~ 3.061.120 Bytes
Versão IVDF:7.01.00.138 - quarta-feira, 26 de novembro de 2008

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-Banker.Win32.Banker.aaus
   •  F-Secure: Trojan-Banker.Win32.Banker.aaus
   •  Sophos: Mal/DelpBanc-A
   •  Grisoft: PSW.Banker5.AEW
   •  VirusBuster: TrojanSpy.Banker.BISF
   •  Eset: Win32/Spy.Banker.PVH trojan
   •  Bitdefender: Packer.RLPack.D


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %ALLUSERSPROFILE%\start menu\programs\startup\Java(TM).exe



É criado o seguinte ficheiro:

– C:\start.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Java(TM)="C:\Arquivos de programas\Java(TM).exe"

 Terminar o processo  Os seguintes serviços são desactivados :
   • GbpSv

 Backdoor Contacta o servidor:
Seguinte:
   • http://contagemdeamigos.iespana.es/**********/contar.php

Como resultado pode enviar alguma informação. Isto é feito pelos métodos HTTP GET e POOS usando scripts PHP.


Envia informação sobre:
    • Informação recolhida na secção de roubos.

 Roubos de informação Tenta roubar a seguinte informação:

– É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites:
   • https://www.bradesco.com.br
   • https://netbanking2.banespa.com.br

– Captura:
    • Informação de login

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • RLPack

Descrição enviada por Thomas Wegele em terça-feira, 16 de dezembro de 2008
Descrição atualizada por Thomas Wegele em terça-feira, 16 de dezembro de 2008

Voltar . . . .