Полное описание

Имя:	TR/Spy.Banker.bpj
Обнаружен:	19/07/2006
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	285.184 байт.
Контрольная сумма MD5:	c3d013ce5cef94c914fa570C945a231f
Версия VDF:	6.35.00.184
Версия IVDF:	6.35.00.224

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Kaspersky: Trojan-Spy.Win32.Banker.bpj
   • TrendMicro: TSPY_BANKER.BVM
   • Sophos: Troj/Banker-LCR
   • Bitdefender: Trojan.Spy.Banker.WVA

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает файлы
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

После запуска выдается следующая информация:

После активации запускается Windows приложение. При этом отображается следующее окно:

Файлы Создается собственная копия:
   • %SYSDIR%\winsp II\Services.exe

Создается следующая директория:
   • %SYSDIR%\winsp II

Создается файл:

– %SYSDIR%\servicesxpnt.dll Файл содержит строки введенных с клавиатуры символов

Попытка запустить на выполнение следующий файл:

– Имя файла:
   • %случайно выбранная директория%\IExplore.exe
с помощью следующего параметра командной строки: www_getwindowinfo

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Services"="%SYSDIR%\winsp II\Services.exe"

Добавляется следующий ключ реестра:

– HKCU\Services

Email Не имеет собственной процедуры размножения. Занимается рассылкой электронных писем. Адресат может оказаться отправителем. Подробности приведены ниже:

От:
Адрес отправителя был фальсифицирован.
Отправитель письма:
   • "%Имя компьютера%" <cristinacastro007@gmail.com>

Кому:
Получателем письма является:
   • cristinacastro007@gmail.com

Тема:
Следующее:
   • confirmando =?ISO-8859-1?Q?atualiza=E7=E3o?= sp2%Имя
      компьютера%

Тело:
Тело письма имеет следующий вид:

   • %похищенная информация%

Письмо выглядит следующим образом:

Отправка MX Server:
Обладает способностью связаться со следующим MX сервером:
• gsmtp185.google.com

Backdoor Устанавливает соединение с сервером
Следующий:
• http://zptq.no.sapo.pt/**********

В результате обеспечиваются функции скрытого удаленного управления. Это происходит с помощью HTTP GET запроса CGI скрипта.
Ответ сервера записывается в следующий файл: %SYSDIR%\itlzxp.dll

Возможности удаленного контроля:
• Загрузить файл

Кража Попытка кражи следующей информации:

– После посещения одной из следующих веб-страниц была запущена функция протоколирования:
   • http://citibank.com
   • http://www.uol.com.br

– Протоколируется:
    • Информация об окне
    • Окно веб-браузера

Данные файла Язык программирования:
Программа была написана на Delphi.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX

Описание добавил Marius T. Nicolae в(о) понедельник, 11 сентября 2006 г.
Описание обновил Marius T. Nicolae в(о) понедельник, 11 сентября 2006 г.

Назад . . . .