Имя:TR/PSW.Steal.34816
Обнаружен:05/01/2007
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:77.824 байт.
Контрольная сумма MD5:03cb77bb44b8dc53c3d7128016a9de0d
Версия VDF:6.36.00.176
Версия IVDF:6.36.00.195

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: PWS-Banker.gen.ad
   •  Kaspersky: Trojan-Spy.Win32.Banker.cew
   •  Grisoft: PSW.Generic2.OQN
   •  Bitdefender: Generic.PWStealer.9D1E2E5E


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Похищает информацию

 Реестр Добавляются следующие ключи реестра:

– [HKCR\NetHelper.Hook]
   • @="Hook Class"

– [HKCR\NetHelper.Hook\CLSID]
   • @="{1593C741-C011-46FE-99FC-3805C28328BA}"

– [HKCR\NetHelper.Hook\CurVer]
   • @="NetHelper.Hook.1"

– [HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}]
   • @="Hook Class"

– [HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\InprocServer32]
   • @="%SYSDIR%\nethelper.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\ProgID]
   • @="NetHelper.Hook.1"

– [HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\Programmable]
– [HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\TypeLib]
   • @="{0324D9F1-2199-4424-98C7-A0E8CC45743B}"

– [HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\
   VersionIndependentProgID]
   • @="NetHelper.Hook"

– [HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}]
– [HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0]
   • @="NetHelper 1.0 Type Library"

– [HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0\0]
– [HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0\0\win32]
   • @="%SYSDIR%\nethelper.dll"

– [HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0\HELPDIR]
   • @="%SYSDIR%\"

– [HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}]
   • @="IHook"

– [HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}\TypeLib]
   • @="{0324D9F1-2199-4424-98C7-A0E8CC45743B}"
   • "Version"="1.0"

 Backdoor Устанавливает соединение с сервером
Все последующие:
   • http://www.bts-trade.com/**********
   • http://www.bts-trade.com/**********
   • http://www.bts-trade.com/**********
   • http://www.bts-trade.com/**********
   • http://www/bts-trade.com/**********
   • http://www.noviid.com/**********
   • http://www.lock5all.com/**********
   • http://www.bts-trade.com/**********

В результате может пересылаться информация. Для этого служит метод HTTP POST с применением PHP скриптов.


Передает информацию о:
    • Полученная из похищенного блока информация

 Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы

– После посещения одной из следующих веб-страниц была запущена функция протоколирования:
   • www.anz.com; www.westpac.com.au; www.national.com.au;
      www.netbank.commbank.com.au; www.ibank.stgeorge.com.au;
      www.bendigobank.com.au; www.netteller.com.au;
      www.invest.etrade.com.au; www.banking2.anz.com;
      www.fastnetoffice.asbbank.co.nz; www.fastpay.asbbank.co.nz;
      www.fnc.asbbank.co.nz; www.ost.asbbank.co.nz;
      www.mastertrust.asbbank.co.nz; www.btc000642dmia.com; www.nbnz.co.nz;
      www.directdeal1.nbnz.co.nz; www.tradeportal-tradecentrix.com;
      www.sec.westpac.co.nz; www.bnz.co.nz; www.homebank.tsbbank.co.nz;
      www.superbank.co.nz; www.kiwibank.co.nz; www.nzpost.co.nz;
      www.vault.bankdirect.co.nz; www.ebank.hsbc.co.nz;
      www.ibank.barclays.co.uk; www.ibank.internationalbanking.barclays.com;
      www.online.lloydstsb.co.uk; www.ebank.hsbc.co.uk; www.hsbc.co.uk;
      www.nwolb.com; www.halifax-online.co.uk; www.cibconline.cibc.com;
      www1.royalbank.com; www1.bmo.com; www.online.wellsfargo.com;
      www.wellsfargo.com; www.web.da-us.citibank.com; www.accountonline.com;
      www.citibank.com; www.usaa.com; www.us.etrade.com;
      www.onlineservices.wachovia.com; www.banking.uboc.com;
      www.secure.farmbureaubank.com; www.virtualbank.com; www.firstib.com;
      www.ascenciabank.com; www.accounts.key.com;
      www.onlinebanking.nationalcity.com; www.chaseonline.chase.com;
      www.onlinewest1.bankofamerica.com; www.sitekey.bankofamerica.com;
      www.onlineid.bankofamerica.com; www.onlineeast2.bankofamerica.com;
      www.usbank.com; www.clientsonly.jackhenry.com; www.suntrust.com;
      www.onlinefiletransfer.suntrust.com; www.ibsnetaccess.com;
      www.suntrust.retirementpartner.com; www.retirementpartner.com;
      www.ebank.us.hsbc.com; www1.net.hsbc.com; www.bnyconnect.com;
      www2.bnypcis.com; www.bnyonline.com; www.mbnanetaccess.com;
      wwws.ameritrade.com; www.neteller.com;
      www.onlinebanking.lasallebank.com; www.accountlink.pncbank.com;
      www.e-gold.com; www.wumt.westernunion.com; www.account.authorize.net;
      www.ibs.secure-banking.com; www.online.wamu.com;
      www.login.personal.wamu.com; www.onlinebanking.lasallebank.com;
      www.discovercard.com; www.my.monster.com; www.careerbuilder.com

– Протоколируется:
    • Регистрационная информация

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Monica Ghitun в(о) пятница, 5 января 2007 г.
Описание обновил Monica Ghitun в(о) среда, 10 января 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.