TSPY_BANCOS.BVB
TrojanSpy:Win32/Bancos.AEV (Microsoft)
Windows 2000, Windows XP, Windows Server 2003
Type de grayware:
Spyware
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Détails techniques
Übertragungsdetails
Wird möglicherweise von den folgenden externen Sites heruntergeladen:
- http://{BLOCKED}2012.xpg.com.br/boa.pdf
Installation
Erstellt die folgenden Ordner:
- %System Root%\Documents and Settings\All Users\Application Data\TEMP
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_CLASSES_ROOT\CLSID\{83447388-F457-4723-9D09-6F486F161E1A}
HKEY_CLASSES_ROOT\CLSID\{8F577DD6-A889-B773-13C5-1FBA13C51FBA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{8F577DD6-A889-B773-13C5-1FBA13C51FBA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{83447388-F457-4723-9D09-6F486F161E1A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
EXT
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_CLASSES_ROOT\CLSID\{83447388-F457-4723-9D09-6F486F161E1A}\
InprocServer32
Default = "{malware path and filename}"
HKEY_CLASSES_ROOT\CLSID\{8F577DD6-A889-B773-13C5-1FBA13C51FBA}\
InprocServer32
Default = "%System%\dxtmsft.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{83447388-F457-4723-9D09-6F486F161E1A}\InprocServer32
Default = "{malware path and filename}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
EXT\CLSID
{83447388-F457-4723-9D09-6F486F161E1A} = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_ENABLE_SCRIPT_PASTE_URLACTION_IF_PROMPT
iexplore.exe = "dword:00000001"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{83447388-F457-4723-9D09-6F486F161E1A}
NoExplorer = "dword:00000001"