Имя:TR/Spy.Banker.ccj
Обнаружен:05/10/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:970.752 байт.
Контрольная сумма MD5:7e3a0361cdfe790d15ee8a25c16a0c28
Версия VDF:6.36.00.79
Версия IVDF:6.36.00.95 - четверг, 12 октября 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan-Spy.Win32.Banker.ccj
   •  F-Secure: Trojan-Spy.Win32.Banker.ccj
   •  Sophos: Troj/Bancban-PK
   •  Grisoft: PSW.Banker2.QKO
   •  Eset: Win32/Spy.Banker.AWA
   •  Bitdefender: Trojan.Banker.Delf.DG


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файлы
   • Использует собственный почтовый движок
   • Изменение реестра
   • Похищает информацию

 Файлы Создаются следующие файлы:

– Незараженный файл:
   • %SYSDIR%\epson.txt

– Файл предназначен для временного использования и может быть удален.
   • %SYSDIR%\fotos\foto%Число%.jpg




Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • %SYSDIR%\netsh.exe
с помощью следующего параметра командной строки: firewall add allowedprogram %SYSDIR%\epson.scr Ftp..


– Имя файла:
   • %SYSDIR%\netsh.exe
с помощью следующего параметра командной строки: firewall add allowedprogram %SYSDIR%\epson.scr smtp..

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Epson"="%SYSDIR%\epson.scr"

 Email Не имеет собственной процедуры размножения. Занимается рассылкой электронных писем. Адресат может оказаться отправителем. Подробности приведены ниже:


От:
Список возможных отправителей письма:
   • bemvindo2006@mail.ru
   • bemvindo2005@mail.ru
   • bemvindo2007@mail.ru


Кому:
Получателями письма являются:
   • bemvindo2007@gmail.com
   • bemvindo20066@gmail.com
   • vidanova424@gmail.com


Дизайн писем:
Тема: MAIS UM NO AGUARDO%Имя компьютера%
Тема: Sangue Bom - %Имя компьютера%
Текст письма:
   • %Имя компьютера%
     %похищенная информация%
Прикрепленный файл:
   • foto%Число%.jpg



Письмо могло бы выглядеть следующим образом:



 Отправка MX Server:
Обладает способностью связаться со следующим MX сервером:
   • smtp.mail.ru

 Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы

– После посещения одной из следующих веб-страниц была запущена функция протоколирования:
   • http://www.orkut.com
   • http://www.bb.com.br
   • http://www.bradesco.com.br
   • http://www.equifax.com.br
   • http://www.santander.com.br
   • http://santander.com.br/portal/bsb/script/templates/GCMRequest.do?page=1010
   • http://www.banespa.com.br
   • http://www.itau.com.br
   • https://bankline.itau.com.br/GRIPNET/gracgi.EXE
   • https://www2.bancobrasil.com.br/aapf/aai/principal
   • https://internetcaixa.caixa.gov.br/NASApp/SIIBC/login_autentica.processa
   • https://bradesconetempresa.com.br
   • https://www2.bancobrasil.com.br/aapf/aai/login.pbk?textoConteudo=3

– Протоколируется:
    • Регистрационная информация

–Формы отображаются следующим образом:




 Данные файла Язык программирования:
 Программа была написана на Delphi.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Adriana Popa в(о) четверг, 7 декабря 2006 г.
Описание обновил Adriana Popa в(о) пятница, 8 декабря 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.