Nome del virus: TR/Spy.Banbra.DJ.5
Scoperto: 05/10/2005
Tipo: Trojan
In circolazione (ITW): No
Numero delle infezioni segnalate: Basso
Potenziale di propagazione: Basso
Potenziale di danni: Medio-Basso
File statico: Si
Dimensione del file: 1.290.240 Byte
Somma di controllo MD5: 437D5BA8C5CF57798F3F64B4F3723337
Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione
Alias:
• Mcafee: PWS-Banker.gen.b
• Kaspersky: Trojan-Spy.Win32.Banbra.dj
• Bitdefender: Trojan.Banker.Delf.803270D0
Piattaforme / Sistemi operativi:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Utilizza un proprio motore SMTP per l'invio di email
• Modifica del registro
• Sottrae informazioni
File
Si copia alla seguente posizione:
• %WINDIR%\iexplore.exe
Registro
Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "cmssapp"="%WINDIR%\iexplore.exe"
Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:
Da:
Il mittente della mail è il seguente:
• Usuario OK-VS.: 1.0.2.50
A:
Il destinatario dell'email è il seguente:
• miscsuxvega@yahoo.com.br
Oggetto:
Il seguente:
• Usuario %nome della banca% %data corrente%
Corpo dell'email:
Il corpo dell’email è come il seguente:
• Nome da Maquina: %nome del computer%
Nome do UserPC: %nome utente corrente%
%informazioni sottratte%
Prova a sottrarre le seguenti informazioni:
– Dopo aver visitato un sito web, che nel suo URL contiene una delle seguenti sottostringhe, viene avviata una procedura di “tracciamento”:
• bradesco.com.br/br/redirect/pj_acessoconta.;
officebanking.bradesco.com.br//pj/iniciasessao.;
.bancobrasil.com.br/aapf/aai/login.pbk; .bb.com.br/aapf/aai/login.pbk;
.bancodobrasil.com.br/aapf/aai/login.pbk;
.bec.com.br/becnet2/becnet1/index.htm?agencia=;
banknet.brb.com.br/banknet; netbanking2.banespa.com.br/default.asp?;
netbanking.banespa.com.br/default.asp?;
net.sofisa.com.br/netbanking/tVirtua.jsp; nel.bnb.gov.br/default;
nel.bnb.gov.br/aco_ini.htm;
banrisul.com.br/bto/link/msie/btope0hw.asp?Largura=;
rural.com.br/RuralIBank/; .rural.com.br/RuralIBank/;
internetcaixa.caixa.gov.br/NASApp/SIIBC/index_;
internetcaixa.caixa.gov.br/NASApp/SIIBC/index_verif.processa;
www2.realsecureweb.com.br/scripts/engine_brpi.dll;
www.realsecureweb.com.br/scripts/engine_brpi.dll;
sudameris.com.br//scripts/engine_sol.dll;
sudameris.com.br/scripts/engine_sol.dll;
bradesco.com.br/scripts/ib2k1.dll/LOGIN
– Cattura:
• Informazioni della finestra
• Informazioni di login
Dettagli del file
Linguaggio di programmazione:
Il malware è stato scritto in Delphi.
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX
Per la descrizione "in breve" clicca qui.
Descrizione inserita da Andrei Gherman il Thu, 06 Oct 2005 10:11 (GMT+1)
Descrizione aggiornata da Andrei Gherman il Wed, 12 Oct 2005 14:02 (GMT+1)
Fonte: http://www.avira.com/it/threats/
Nessun commento:
Posta un commento