Имя:TR/Spy.Agent.gct
Обнаружен:17/06/2008
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Нет
Размер файла:~4.143.000 байт.
Версия IVDF:7.00.04.210 - вторник, 17 июня 2008 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: Infostealer
   •  Kaspersky: Trojan-Spy.Win32.Banker.oyi
   •  TrendMicro: TROJ_BANKER.NWL
   •  F-Secure: Trojan-Spy.Win32.Banker.oyi
   •  Panda: Trj/Banker.FWD
   •  Grisoft: PSW.Banker4.AHOP
   •  Eset: probably a variant of Win32/Spy.Banker trojan


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %SYSDIR%\Internet_Explorer.exe



Создается файл:

– C:\001.tmp Файл содержит информацию о системе.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Internet_Explorer.exe="%SYSDIR%\Internet_Explorer.exe"



Добавляется следующий ключ реестра:

– [HKCU\Software\Microsoft\FkuCMxHi]
   • htIRtBqg=%шестнадцатиричное значение%

 Backdoor Устанавливает соединение с сервером
Все последующие:
   • http://www.nutricionchaves.com.ar/**********search/~/_.php
   • http://www.radiomarcatenerife.com/**********/Messages/lang/eng/region.php

В результате может пересылаться информация. Для этого служит метод HTTP POST с применением PHP скриптов.


Передает информацию о:
    • Имя компьютера
    • IP адрес
    • MAC-адрес
    • Полученная из похищенного блока информация
    • Системное время
    • посещенные URL

 Кража – После посещения одной из следующих веб-страниц была запущена функция протоколирования:
   • http://www.bb.com.br
   • http://www.unibanco.com
   • http://www.itau.com.br
   • http://www.bradesco.com.br
   • http://www.santander.com.br

– Протоколируется:
    • Регистрационная информация

 Данные файла Язык программирования:
 Программа была написана на Delphi.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Thomas Wegele в(о) среда, 6 августа 2008 г.
Описание обновил Thomas Wegele в(о) среда, 6 августа 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.