TR/Banker.Delf.DF735649 - Trojan

In alte limbi

Scurta descriere

Descriere completa

Statistici

Nume:	TR/Banker.Delf.DF735649
Descoperit pe data de:	14/03/2006
Tip:	Troian
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	497.263 Bytes
MD5:	ba970E1969262fe24e8f580B25d10Bc1
Versiune VDF:	6.34.00.44

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Mcafee: PWS-Banker.gen.bb
   • TrendMicro: TSPY_BANKER.CGU
   • Bitdefender: Trojan.Banker.Delf.DF735649

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Sustrage informatii

Imediat dupa lansarea in executie, pe ecran este afisat:

Imaginea a fost editata in scop grafic.

Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Windows"="%WINDIR%\smss.exe"

Se sterge urmatoarea cheie din registri, inclusiv toate valorile si cheile subordnate:
• [HKCR\CLSID\{2E3C3651-B19C-4DD9-A979-901EC3E930AF}]

Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Code Store Database]

Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:

De la:
Expeditorul email-ului este urmatorul:
   • "%numele computerului%"

Catre:
Destinatarul mesajului este:
   • peixim2007@gmail.com

Subiect:
Urmatorul:
   • Aviso-Infect - %numele computerului%

Corpul email-ului:

Corpul email-ului este:

   • %numele computerului%

     Dispositivo instalado.
     Maquina pronta para uso.

     Data: %data curenta%
     Hora: %ora curenta%

     Development by CROW MASTER.

Email-ul arata astfel:

Email Server MX:
Se poate conecta la unul dintre serverele MX:
   • smtp.isbt.com.br
   • smtp.terra.com.br
   • smtp.poa.terra.com.br

Furt de informatii Incearca sa obtina urmatoarele informatii:

– O rutina de logare este pornita dupa ce unul din urmatoarele site-uri este vizitat:
   • https://itaubankline.itau.com.br
   • https://bankline.itau.com.br
   • https://netbanking2.banespa.com.br
   • https://internetcaixa.caixa.gov.br
   • http://www.bb.com.br
   • http://www.itau.com.br
   • http://www.santander.com.br
   • http://www.banespa.com.br
   • http://www.sudameris.com.br
   • http://www.bradesco.com.br

– Face captura la:
    • Informatii legate de fereastra
    • Informatii de logare

–Sunt afisate ferestre cu formulare, asa cum arata imaginile de mai jos:

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Delphi.

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Pentru o descriere scurta click aici.

Descriere introdusa de Daniel Constantin la Fri, 17 Mar 2006 10:26 (GMT+1)
Descriere actualizata de Daniel Constantin la Fri, 17 Mar 2006 10:47 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back