Имя:TR/Spy.Banker.bpj
Обнаружен:19/07/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:285.184 байт.
Контрольная сумма MD5:c3d013ce5cef94c914fa570C945a231f
Версия VDF:6.35.00.184
Версия IVDF:6.35.00.224

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan-Spy.Win32.Banker.bpj
   •  TrendMicro: TSPY_BANKER.BVM
   •  Sophos: Troj/Banker-LCR
   •  Bitdefender: Trojan.Spy.Banker.WVA


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файлы
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру


После запуска выдается следующая информация:



После активации запускается Windows приложение. При этом отображается следующее окно:


 Файлы Создается собственная копия:
   • %SYSDIR%\winsp II\Services.exe



Создается следующая директория:
   • %SYSDIR%\winsp II



Создается файл:

%SYSDIR%\servicesxpnt.dll Файл содержит строки введенных с клавиатуры символов



Попытка запустить на выполнение следующий файл:

– Имя файла:
   • %случайно выбранная директория%\IExplore.exe
с помощью следующего параметра командной строки: www_getwindowinfo

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Services"="%SYSDIR%\winsp II\Services.exe"



Добавляется следующий ключ реестра:

– HKCU\Services

 Email Не имеет собственной процедуры размножения. Занимается рассылкой электронных писем. Адресат может оказаться отправителем. Подробности приведены ниже:


От:
Адрес отправителя был фальсифицирован.
Отправитель письма:
   • "%Имя компьютера%" <cristinacastro007@gmail.com>


Кому:
Получателем письма является:
   • cristinacastro007@gmail.com


Тема:
Следующее:
   • confirmando =?ISO-8859-1?Q?atualiza=E7=E3o?= sp2%Имя
      компьютера%



Тело:
Тело письма имеет следующий вид:

   • %похищенная информация%



Письмо выглядит следующим образом:


 Отправка MX Server:
Обладает способностью связаться со следующим MX сервером:
   • gsmtp185.google.com

 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://zptq.no.sapo.pt/**********

В результате обеспечиваются функции скрытого удаленного управления. Это происходит с помощью HTTP GET запроса CGI скрипта.
Ответ сервера записывается в следующий файл: %SYSDIR%\itlzxp.dll


Возможности удаленного контроля:
    • Загрузить файл

 Кража Попытка кражи следующей информации:

– После посещения одной из следующих веб-страниц была запущена функция протоколирования:
   • http://citibank.com
   • http://www.uol.com.br

– Протоколируется:
    • Информация об окне
    • Окно веб-браузера

 Данные файла Язык программирования:
 Программа была написана на Delphi.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Marius T. Nicolae в(о) понедельник, 11 сентября 2006 г.
Описание обновил Marius T. Nicolae в(о) понедельник, 11 сентября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.