English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Spy.Bancos.YT.2
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TR/Spy.Bancos.YT.2 - Trojan
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
TR/Spy.Bancos.YT.2
Обнаружен:
22/09/2006
Вид:
Троянская программа
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Низкий
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
179.200 байт.
Контрольная сумма MD5:
17b0f4c1e448749988a91d9d912c827c
Версия VDF:
6.36.00.52
Версия IVDF:
6.36.00.63
Общее
Метод распространения:
• Нет собственной процедуры распространения
Псевдонимы (аliases):
• Kaspersky: Trojan-Spy.Win32.Bancos.yt
• F-Secure: Trojan-Spy.Win32.Bancos.yt
• Sophos: Troj/Bancos-AW
• Eset: Win32/Spy.Bancos.U
Операционные системы:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Использует собственный почтовый движок
• Изменение реестра
• Похищает информацию
После запуска выдается следующая информация:
Файлы
Создается собственная копия:
•
%SYSDIR%
\nspackk.exe
Создается файл:
–
%WINDIR%
\winhlp32.dat Данный текстовый файл не заражен вирусом. Он содержит информацию о самой программе.
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "NSpackk"=""
%SYSDIR%
\nSpackk.exe""
Изменяется следующий ключ реестра:
– HKLM\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\Storages\
InternetMail\RealTimeScan
Новое значение:
• "OnOff"=dword:00000000
Email
Не имеет собственной процедуры размножения. Занимается рассылкой электронных писем. Адресат может оказаться отправителем. Подробности приведены ниже:
Дизайн письма:
От:
passageiro2006a@yahoo.es
Кому:
caxopa2@yahoo.com.hk
Тема:
Retorno!!
%актуальная дата%
%актуальное время (часы)%
Текст письма:
•
Msg da versão.: 5.0.0 OR - 1-Sem arquivo
.
Отправка
MX Server:
Не использует стандартный MX сервер.
Обладает способностью связаться со следующим MX сервером:
• smtp.correo.yahoo.es
Кража
Попытка кражи следующей информации:
– Запуск функции протоколирования при посещении веб-страницы с одной из следующих последовательностей в URL:
• www2.bancobrasil.com.br
• https://www2.bancobrasil.com.br/aapf/saldos/006.jsp?codT=0
• https://www2.bancosbrasil.com.br/aapff/aaii/principal
• internetcaixa.caixa.gov.br
• \BancoBrasil\officeIE\index.html
• https://bankline.itau.com.br/GRIPNET/gracgi.exe
• bankline.itau.com.br
– Протоколируется:
• Регистрационная информация
Данные файла
Язык программирования:
Программа была написана на Visual Basic.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• PECompact
Краткое описание см.
здесь
.
Описание добавлено: Teodor Onisor Thu, 05 Oct 2006 12:03 (GMT+1)
Описание обновлено: Teodor Onisor Thu, 05 Oct 2006 14:05 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Mytob.AT
Worm/Netsky.J
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info TR/Spy.Bancos.YT.2
Print this page
.gif)
