TR/Spy.Banker.bpj - Trojan

In alte limbi

Scurta descriere

Descriere completa

Statistici

Nume:	TR/Spy.Banker.bpj
Descoperit pe data de:	19/07/2006
Tip:	Troian
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	285.184 Bytes
MD5:	c3d013ce5cef94c914fa570C945a231f
Versiune VDF:	6.35.00.184
Versiune IVDF:	6.35.00.224

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Kaspersky: Trojan-Spy.Win32.Banker.bpj
   • TrendMicro: TSPY_BANKER.BVM
   • Sophos: Troj/Banker-LCR
   • Bitdefender: Trojan.Spy.Banker.WVA

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza fisiere
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

Imediat dupa lansarea in executie, pe ecran este afisat:

Dupa activare, ruleaza un program Windows care afiseaza urmatoarea fereastra:

Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\winsp II\Services.exe

Creeaza urmatorul director:
   • %SYSDIR%\winsp II

Este creat fisierul:

– %SYSDIR%\servicesxpnt.dll Acest fisier stocheaza datele introduse de utilizator la tastatura.

Incearca se execute urmatorul fisier:

– Numele fisierului:
   • %director ales aleator%\IExplore.exe
cu urmatorii parametri: www_getwindowinfo

Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Services"="%SYSDIR%\winsp II\Services.exe"

Se adauga in registrii sistemului:

– HKCU\Services

Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:

De la:
Adresa este falsificata.
Expeditorul email-ului este urmatorul:
   • "%numele computerului%" <cristinacastro007@gmail.com>

Catre:
Destinatarul mesajului este:
   • cristinacastro007@gmail.com

Subiect:
Urmatorul:
   • confirmando =?ISO-8859-1?Q?atualiza=E7=E3o?= sp2%numele
      computerului%

Corpul email-ului:
Corpul email-ului este:

   • %informatiile sustrase%

Email-ul arata astfel:

Email Server MX:
Se poate conecta la serverul MX:
• gsmtp185.google.com

Backdoor Servere contactate:

• http://zptq.no.sapo.pt/**********

Astfel se obtine control la distanta. Aceasta se face printr-o interogare HTTP GET intr-un script CGI.
Raspunsul serverului este scris in fisierul: %SYSDIR%\itlzxp.dll

Posibilitati de control la distanta:
• descarcare fisier

Furt de informatii Incearca sa obtina urmatoarele informatii:

– O rutina de logare este pornita dupa ce unul din urmatoarele site-uri este vizitat:
   • http://citibank.com
   • http://www.uol.com.br

– Face captura la:
    • Informatii legate de fereastra
    • Fereastra browserului Internet

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Delphi.

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
• UPX

Pentru o descriere scurta click aici.

Descriere introdusa de Marius T. Nicolae la Mon, 11 Sep 2006 15:38 (GMT+1)
Descriere actualizata de Marius T. Nicolae la Mon, 11 Sep 2006 15:57 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back