Имя:TR/Banker.Delf.EC
Обнаружен:16/02/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:1.560.472 байт.
Контрольная сумма MD5:6a154e0A90f45202ec2d42e9a71a1b03
Версия VDF:6.33.01.01 - четверг, 16 февраля 2006 г.
Версия IVDF:6.33.01.01 - четверг, 16 февраля 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдоним (alias):
   •  TrendMicro: TSPY_BANKER.EZT


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Похищает информацию

 Файлы Создаются собственные копии:
   • %SYSDIR%\AntiVirus.scr
   • %SYSDIR%\smsss.exe
   • %ALLUSERSPROFILE%\start menu\programs\startup\AntiVirus.scr

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "AntiVirus"="%SYSDIR%\AntiVirus.scr"



Добавляется следующий ключ реестра:

– HKCU\SOFTWARE\MICROSOFT\MS SETUP (ACME)\

 Email Не имеет собственной процедуры размножения. Занимается рассылкой электронных писем. Адресат может оказаться отправителем. Подробности приведены ниже:


От:
Адрес отправителя был фальсифицирован.
Список возможных отправителей письма:
   • "B.R.A.V.O" <boizao2006@yahoo.com.br>
   • pau 100 mil


Кому:
– Следующий электронный адрес:
   • gracelltda@gmail.com


Тема:
Одно из следующих:
   • $DINHEIRO$
   • $DINHEIRO$%name of the bank%
   • ESSE =?ISO-8859-1?Q?=C9?= FORTE= %name of the computer%



Тело:

   • %похищенная информация%



Письмо могло бы выглядеть следующим образом:



 Кража – После посещения одной из следующих веб-страниц была запущена функция протоколирования:
   • http://www.bancorural.com.br/
   • unibanco.com.br
   • bradesco.com.br/scripts/
   • https://carrinho.americanas.com.br/portal/acom.portal?_nfpb=true&portlet_payment_actionOverride=#portlets#payment%
   • https://www.submarino.com.br/Payment.asp?AddrId=&Atm=
   • https://www2.rural.com.br/RuralIBank/principal.jsp
   • banknet.brb.com.br/iBanking
   • www.bec.com.br
   • bancoreal.com.br
   • http://www.bancoreal.com.br/
   • http://www.bancoreal.com.br
   • https://wwws.nossacaixa.com.br/bemvindo.asp
   • itau.com.br

– Протоколируется:
    • Регистрационная информация

–Формы отображаются следующим образом:




 Разное Мьютекс:
Создается мьютекс:
   • fataL MuTexXx

 Данные файла Язык программирования:
 Программа была написана на Delphi.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Marius T. Nicolae в(о) пятница, 1 сентября 2006 г.
Описание обновил Marius T. Nicolae в(о) понедельник, 18 сентября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.