TR/Spy.Banker.bpk - Trojan

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	TR/Spy.Banker.bpk
Обнаружен:	19/07/2006
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	825.912 байт.
Контрольная сумма MD5:	b6d73ad77f9c87df6853e121cfd4c98c
Версия VDF:	6.35.00.184
Версия IVDF:	6.35.00.224

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Symantec: Infostealer.Bancos!gen
   • Mcafee: PWS-Banker.gen.g
   • Kaspersky: Trojan-Spy.Win32.Banker.ark
   • TrendMicro: TSPY_BANKER.AFK
   • Sophos: Troj/Bnkmr-Fam
   • Bitdefender: Trojan.Spy.Banker.WVC

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Изменение реестра
   • Похищает информацию

Файлы Создается собственная копия:
• %ALLUSERSPROFILE%\start menu\programs\startup\amsn.exe

Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

– [HKCR\Software\Microsoft\Windows\CurrentVersion\Run]
• "amsn"="%WINDIR%\Config\amsn.exe"

Email Не имеет собственной процедуры размножения. Занимается рассылкой электронных писем. Адресат может оказаться отправителем. Подробности приведены ниже:

От:
Адрес отправителя был фальсифицирован.
Список возможных отправителей письма:
   • INFECTADO
   • CAIXAECONOMICA
   • BANCODOBRASIL
   • UNIBANCO
   • BANESPA

Кому:
Получателем письма является:
   • gsmtp.smtp@gmail.com

Тема:
Одно из следующих:
   • %Имя компьютера%
   • CHEGOU C/C BUFUNFA %Имя компьютера%

Тело:
Иногда имеет в начале следующее:

   • [Infectado OnLine]..:
     Maquina.............: %Имя компьютера%
     IP..................: %текущий IP адрес%
     Data................: %актуальная дата%
     Hora................: %актуальное время (часы)%
     Versão do Windows...: %версия Windows%
     |'=========SOURCE BY ROJAO===========



   • Demonio FEDERAL
     !
     [Caixa Tip].............:
     [Caixa Agê].............:
     [Caixa Con].............:
     [Caixa SeNet]...........:
     [Caixa AssElet].........:
     !
     !==========SOURCE BY ROJAO=============

   • Unibanco nem parece Banco :D
     [Con-Dig]......:
     [SeCont].......:
     [AssElet]......:
     [NascimE]......:
     !=========SOURCE BY ROJAO==========

   • BANESPA
     [Cont]:.........:
     [Nome Acesso]:..:
     [Sen]:..........:
     [Ass E]:........:
     ==============SOURCE BY ROJAO============

Письмо могло бы выглядеть следующим образом:

Отправка MX Server:
Обладает способностью связаться со следующим MX сервером:
• gsmtp185.google.com

Кража Попытка кражи следующей информации:

– После посещения одной из следующих веб-страниц была запущена функция протоколирования:
   • http://www.caixa.gov.br/_redirect/links/r_internetcaixa.asp
   • http://www.bancodobrasil.com.br/appbb/portal/index.jsp
   • http://www.santanderbanespa.com.br/portal/gsb/script/templates/GCMRequest.do?page=50

– Протоколируется:
    • Регистрационная информация

Разное Мьютекс:
Создается мьютекс:
• fataL MuTexXx

Краткое описание см. здесь.

Описание добавлено: Gabriel Mustata Tue, 03 Oct 2006 09:23 (GMT+1)
Описание обновлено: Andrei Ivanes Tue, 24 Oct 2006 16:52 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back