W32.Bancotrep@mm

Новости

Тип:

Червь Черви - вредоносные программы, распространяющиеся копированием себя целиком либо непосредственно при помощи функции копирования, либо при помощи эксплуатации критических уязвимостей систем к удалённому выполнению кода, не требующих участия пользователя, либо при помощи массовой рассылки себя по электронной почте, либо при помощи рассылки ссылок на своё местонахождение в интернете (в том числе - ссылок на вредоносные страницы, эксплуатирующие уязвимости браузеров для установки своей копии в систему).

Операционная система:

Windows

Уровень:

низкий

Размер:

782.336 байт

Признаки

При запуске создает в корне системного диска видеофайл (WMV) под именем,аналогичным имени загруженной копии червя. Затем запускает воспроизведениефайла.

Тем временем, червь создает в директории Windows (далее %Windir%) следующиефайлы:

  • GbiehItau.dll
  • GbiehCef.dll
  • GbiehBank.dll
  • Scoop2008.dll
  • %Windir%\Scpad.exe
  • %Windir%\wiadebug.dat

Во временной директории (далее %Temp%) создается файл .tmp со случайным именем.Файл .tmp со случайным именем также создается в поддиректории Temp директорииWindows. В директории для приложений (Program Files) создаются файлы rundll32.exeи wiadebug.txt.

В реестре создаются следующие подключи:

  • HKEY_CURRENT_ROOT\TypeLib\{F4C8A477-E4FA-4CF9-BE78-77A4AC92E3B0}
  • HKEY_CURRENT_ROOT\TypeLib\{6B884B91-DD57-4523-99BC-5E956AC4A887}
  • HKEY_CURRENT_ROOT\TypeLib\{575A5373-B6FF-4BF0-9B03-2FDAAE897172}
  • HKEY_CURRENT_ROOT\TypeLib\{46A32661-EC2B-4BE8-B5D4-FC0D5BDFC9DE}
  • HKEY_CURRENT_ROOT\Interface\{F6EF044F-7174-4A75-BC4D-30A78A0D1C26}
  • HKEY_CURRENT_ROOT\Interface\{EA1062D7-A264-4DCD-83E5-DC91CEF7E9F1}
  • HKEY_CURRENT_ROOT\Interface\{82822504-7751-4A47-A252-4BDEC92E0C7F}
  • HKEY_CURRENT_ROOT\Interface\{5A9CC74A-5093-4F8D-8157-348669C34C59}
  • HKEY_CURRENT_ROOT\GbiehItau.GBIEHObj
  • HKEY_CURRENT_ROOT\GbiehCef.GBIEHObj
  • HKEY_CURRENT_ROOT\GbiehBank.GBIEHObj
  • HKEY_CURRENT_ROOT\Scoop2008.GBIEHObj
  • HKEY_CURRENT_ROOT\CLSID\{EDD47EE4-7E9C-45C0-9479-47F3CCED434A}
  • HKEY_CURRENT_ROOT\CLSID\{BEEB2618-69CF-4CD9-9DD0-76886A003022}
  • HKEY_CURRENT_ROOT\CLSID\{A3EB9BE6-2D35-49D4-B7A1-D36102642CFC}
  • HKEY_CURRENT_ROOT\CLSID\{70C64D27-921E-455F-A25B-FC56E8DDDFE4}

Информирует атакующего о захвате компьютера, подключаясь к серверу smtps.uol.com.br.

Пытается похитить информацию об учетных записях ряда крупнейших бразильских онлайн-банков.Данные отправляются по адресу rsasecurid2008@gmail.com.

Пытается загрузить свои копии с URL[http://]www.geocities.com/superdown2008/campeonatomundi[???]

Рассылает себя по адресам, найденным в Windows Live Contacts List.

Письмо содержит случайный адрес отправителя, тему “Fwd: Campeonato mundial de trepada!!!!”,поле BCC: esperanca.2008@yahoo.com.br, Reply-to: postmaster@mail.hotmail.com,вложение campeonatomundialdetrepada.zip.

Тело сообщения:

Veja mapas e encontre as melhores rotas para fugir do transito com o Live Search Maps! Experimente ja! [http://]www.livemaps.com.br/index[???]

ЗАЩИТА

  • Отключить функцию “Восстановление системы” (для Windows ME и XP)
  • Полностью проверить систему антивирусом с обновлённой базой сигнатур
  • Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется посредством массовой рассылки себя по электронной почте по адресам, взятым из списка контактов Windows Live Contacts List.

Крадет конфиденциальные данные из захваченной системы.