TR/Spy.Banker.ccj - Trojan

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	TR/Spy.Banker.ccj
Обнаружен:	05/10/2006
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	970.752 байт.
Контрольная сумма MD5:	7e3a0361cdfe790d15ee8a25c16a0c28
Версия VDF:	6.36.00.79
Версия IVDF:	6.36.00.95

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Kaspersky: Trojan-Spy.Win32.Banker.ccj
   • F-Secure: Trojan-Spy.Win32.Banker.ccj
   • Sophos: Troj/Bancban-PK
   • Grisoft: PSW.Banker2.QKO
   • Eset: Win32/Spy.Banker.AWA
   • Bitdefender: Trojan.Banker.Delf.DG

Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает файлы
   • Использует собственный почтовый движок
   • Изменение реестра
   • Похищает информацию

Файлы Создаются следующие файлы:

– Незараженный файл:
   • %SYSDIR%\epson.txt

– Файл предназначен для временного использования и может быть удален.
   • %SYSDIR%\fotos\foto%Число%.jpg

Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • %SYSDIR%\netsh.exe
с помощью следующего параметра командной строки: firewall add allowedprogram %SYSDIR%\epson.scr Ftp..

– Имя файла:
   • %SYSDIR%\netsh.exe
с помощью следующего параметра командной строки: firewall add allowedprogram %SYSDIR%\epson.scr smtp..

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "Epson"="%SYSDIR%\epson.scr"

Email Не имеет собственной процедуры размножения. Занимается рассылкой электронных писем. Адресат может оказаться отправителем. Подробности приведены ниже:

От:
Список возможных отправителей письма:
   • bemvindo2006@mail.ru
   • bemvindo2005@mail.ru
   • bemvindo2007@mail.ru

Кому:
Получателями письма являются:
   • bemvindo2007@gmail.com
   • bemvindo20066@gmail.com
   • vidanova424@gmail.com

Дизайн писем:
Тема: MAIS UM NO AGUARDO%Имя компьютера%
Тема: Sangue Bom - %Имя компьютера%
Текст письма:
   • %Имя компьютера%
     %похищенная информация%
Прикрепленный файл:
   • foto%Число%.jpg

Письмо могло бы выглядеть следующим образом:

Отправка MX Server:
Обладает способностью связаться со следующим MX сервером:
• smtp.mail.ru

Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы

– После посещения одной из следующих веб-страниц была запущена функция протоколирования:
   • http://www.orkut.com
   • http://www.bb.com.br
   • http://www.bradesco.com.br
   • http://www.equifax.com.br
   • http://www.santander.com.br
   • http://santander.com.br/portal/bsb/script/templates/GCMRequest.do?page=1010
   • http://www.banespa.com.br
   • http://www.itau.com.br
   • https://bankline.itau.com.br/GRIPNET/gracgi.EXE
   • https://www2.bancobrasil.com.br/aapf/aai/principal
   • https://internetcaixa.caixa.gov.br/NASApp/SIIBC/login_autentica.processa
   • https://bradesconetempresa.com.br
   • https://www2.bancobrasil.com.br/aapf/aai/login.pbk?textoConteudo=3

– Протоколируется:
    • Регистрационная информация

–Формы отображаются следующим образом:

Данные файла Язык программирования:
Программа была написана на Delphi.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Краткое описание см. здесь.

Описание добавлено: Adriana Popa Thu, 07 Dec 2006 12:20 (GMT+1)
Описание обновлено: Adriana Popa Fri, 08 Dec 2006 12:17 (GMT+1)

» О вредоносном ПО
» О фишинге
» В список опасных вирусов

« назад