Имя:TR/Spy.Banker.vk.1
Обнаружен:31/08/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:448.328 байт.
Контрольная сумма MD5:f50D69bac27736ecd238039405bf3b60
Версия VDF:6.31.01.124

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan-Spy.Win32.Banker.aww
   •  TrendMicro: TSPY_BANKER.EZL
   •  VirusBuster: TrojanSpy.Banker.EKW
   •  Bitdefender: Generic.Banker.Delf.11A1B4E9


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Похищает информацию

 Файлы  Удаляются следующие файлы:
   • %temporary internet files%\*.gif
   • %temporary internet files%\*.css
   • %temporary internet files%\*.php
   • %temporary internet files%\*.xml
   • %temporary internet files%\*.bmp
   • %temporary internet files%\*.htm
   • %temporary internet files%\*.cab
   • %temporary internet files%\*.crl
   • %cookies%\*.txt

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "boby."="%SYSDIR%\Isass.scr"



Добавляется следующий ключ реестра:

– [HKCU\boby]

 Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы

– После посещения одной из следующих веб-страниц была запущена функция протоколирования:
   • https://www2.bancobrasil.com.br/aapf/aai/**********;
      https://www2.bancobrasil.com.br/aapf/extratos/**********;
      https://www2.bancobrasil.com.br/aapf/aai/**********;
      https://office.bancobrasil.com.br/servlet/**********;
      https://office.bancobrasil.com.br/gov/**********;
      https://www2.bancobrasil.com.br/aapf/aai/**********;
      http://www.bb.com.br/appbb/portal/bb/ds/**********;
      http://www.bb.com.br/appbb/portal/voce/fin/fnc/**********;
      http://www.bb.com.br/appbb/portal/bb/pp/**********;
      http://www.bb.com.br/appbb/portal/voce/mcif/**********;
      http://www.bb.com.br/appbb/portal/hs/crediario/**********;
      http://www.bb.com.br/appbb/portal/ip/srv2/**********;
      http://www.bb.com.br/appbb/portal/voce/ep/srv2/**********;
      http://www.bb.com.br/appbb/portal/voce/fin/**********;
      http://www.bb.com.br/appbb/portal/voce/ep/car/**********;
      http://www.bb.com.br/appbb/portal/voce/cons/**********;
      http://www.bb.com.br/appbb/portal/on/seg/**********;
      http://www.bb.com.br/appbb/portal/on/prv/**********;
      http://www.bb.com.br/appbb/portal/on/cap/**********;
      http://www.bb.com.br/appbb/portal/bb/simp/**********;
      http://www.bb.com.br/appbb/portal/voce/ep/srv2/**********;
      http://www.bb.com.br/appbb/portal/gov/**********;
      http://www.bb.com.br/appbb/portal/fz2/**********;
      http://www.bb.com.br/appbb/portal/**********

– Протоколируется:
    • Регистрационная информация

–Формы отображаются следующим образом:



 Данные файла Язык программирования:
 Программа была написана на Delphi.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • PE Compact

Описание добавил Monica Ghitun в(о) четверг, 31 августа 2006 г.
Описание обновил Monica Ghitun в(о) пятница, 15 сентября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.