TR/Spy.Agent.gct - Trojan

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	TR/Spy.Agent.gct
Data em que surgiu:	17/06/2008
Tipo:	Trojan
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Não
Tamanho:	~4.143.000 Bytes
Versão IVDF:	7.00.04.210

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Symantec: Infostealer
   • Kaspersky: Trojan-Spy.Win32.Banker.oyi
   • TrendMicro: TROJ_BANKER.NWL
   • F-Secure: Trojan-Spy.Win32.Banker.oyi
   • Panda: Trj/Banker.FWD
   • Grisoft: PSW.Banker4.AHOP
   • Eset: probably a variant of Win32/Spy.Banker trojan

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Altera o registo do Windows
   • Informação de roubos

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\Internet_Explorer.exe

É criado o seguinte ficheiro:

– C:\001.tmp O ficheiro contém informações recolhidas do sistema.

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Internet_Explorer.exe="%SYSDIR%\Internet_Explorer.exe"

É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\FkuCMxHi]
• htIRtBqg=%valores hex%

Backdoor Contacta o servidor:
Seguintes:
   • http://www.nutricionchaves.com.ar/**********search/~/_.php
   • http://www.radiomarcatenerife.com/**********/Messages/lang/eng/region.php

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP POST através de scripts PHP.

Envia informação sobre:
    • Nome do computador
    • Endereço IP
    • Endereço MAC
    • Informação recolhida na secção de roubos.
    • Hora de Sistema
    • o URL visitado

Roubos de informação – É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites:
   • http://www.bb.com.br
   • http://www.unibanco.com
   • http://www.itau.com.br
   • http://www.bradesco.com.br
   • http://www.santander.com.br

– Captura:
    • Informação de login

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Delphi.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Thomas Wegele em Wed, 06 Aug 2008 09:43 (GMT+1)
Descrição adicionada por Thomas Wegele em Wed, 06 Aug 2008 12:11 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back