BANKER
Publish Date: 25 de сентября de 2014
PLATFORM:
Windows 2000, Windows XP, Windows Server 2003
OVER ALL RISK RATING:
DAMAGE POTENTIAL::
DISTRIBUTION POTENTIAL::
REPORTED INFECTION:
INFORMATION EXPOSURE:
Low
Medium
High
Critical
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
INFECTION CHANNEL: Se envía como spam vía correo electrónico, Descargado de Internet, Eliminado por otro tipo de malware
TECHNICAL DETAILS
Memory resident: Yes
PAYLOAD: Steals information
Instalación
Infiltra los archivos siguientes:
- %Windows%\wnetsock08.dll
- %Windows%\Media\AuxImgDll.dll
- %Current%\AuxImgDll.dll
- %Current%\Emails.dat
- %Current%\upset1.dat
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Crea las siguientes copias de sí mismo en el sistema afectado:
- %Windows%\Media\HPMedia.exe
- %Current%\{malware filename}_OLD.jmp
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware filename}.exe = "{malware path and filename}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
DrvStart = "%Windows%\Media\HPMedia.exe"