MôtảvềmẫuTrojan-Banker.Win32.Banz.cri Chúng được xếp vào hàng Trojan-Banker – những chương trình được tạo ra để đánh cắp cá thông tin, dữ liệu cá nhân có liên quan đến các hệ thống ngân hàng trực tuyến, thương mại điện tử, e-payment hoặc thẻ thanh toán. Những dữ liệu được đánh cắp này sau đó sẽ được chuyển tiếp về phía tin tặc đứng đằng sau điều khiển Trojan. Hình thức chuyển tiếp dữ liệu này có thể thông qua email, FTP, website … Những dấu hiệu đầu tiên được Kaspersky phát hiện vào ngày 9/6/2010 lúc 20:29 GMT, và chúng bắt đầu hoạt động vào ngày hôm sau, 10/6/2010 - 02:20 GMT, những thông tin phân tích chi tiết được chính thức đăng tải vào ngày 16/06/2010 - 12:17 GMT. Phân tích chi tiết về mặt kỹ thuật Về bản chất, chúng được tạo ra để lấy trộm thông tin cá nhân, dữ liệu các tài khoản ngân hàng, hệ thống thanh toán trực tuyến, các hệ thống thương mại điện tử, thẻ thanh toán … bắt nguồn từ những hệ thống ngân hàng của Brazil. Chúng là những file Windows PE với phần đuôi mở rộng EXE, dung lượng khoảng 942047 byte và được viết bằng ngôn ngữ lập trình Delphi. Nguyên tắc đầu tiên của virus là tự động kích hoạt khởi động cùng hệ thống. Với Trojan-Banker.Win32.Banz.cri cũng không có gì khác, chúng tạo ra khóa Registry sau: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "wscntfx" = "%filepath%" với %filepath% là đường dẫn đầy đủ của file kích hoạt chính. Bên cạnh đó, chúng còn can thiệp vào chỉnh sửa các giá trị của khóa Registry sau: [HKÑU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] " Embedded Web Browser from: http://bsalsa.com/" = "" Xóa các khóa Registry sau: [ HKEY_CLASSES_ROOT\CLSID\{2E3C3651-B19C-4DD9-A979- 901EC3E930AF} ] [ HKEY_CLASSES_ROOT\CLSID\{3F888695-9B41-4B29-9F44- 6B560E464A16} ] [ HKEY_CLASSES_ROOT\CLSID\{9EC30204-384D-11D3-9CA3- 00A024F0AF03} ] Quá trình Payload Khi được kích hoạt, chúng sẽ tự động tải file cấu hình từ: http://juliana9090v.dominiotemporario.com/configex.txt Và so sánh với tình trạng hiện thời của máy tính nạn nhân, đồng thời thực hiện các thay đổi phù hợp. Sau đó, chúng sẽ kiểm soát tất cả các trình duyệt đang hoạt động. Khi người dùng truy cập vào 1 địa chỉ xác định nào đó, chúng lập tức thu thập tất cả các thông tin người sử dụng khai báo và điền vào các form có sẵn trên website đó. Chúng đặt biệt để ý đến 2 địa chỉ sau: www.bradesco.com.br https://www2.realsecureweb.com.br Bên cạnh đó, chúng còn lưu trữ những dữ liệu, con số có liên quan đến thẻ tín dụng của họ trên các website khác nhau. Và những dữ liệu này được chuyển đến địa chỉ hòm thư của tin tặc hoặc các email chỉ định sẵn trong file cấu hình - được tải về lúc trước. Chúng sử dụng server SMTP để gửi email: smtp.tutopia.com.br . Mô tả về mẫu Trojan-Banker. Win32. Banz. cri Chúng được xếp vào hàng Trojan-Banker – những chương trình được tạo ra để đánh cắp cá. Nguyên tắc đầu tiên của virus là tự động kích hoạt khởi động cùng hệ thống. Với Trojan-Banker. Win32. Banz. cri cũng không có gì khác, chúng tạo ra khóa Registry sau: [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]. những thông tin phân tích chi tiết được chính thức đăng tải vào ngày 16/06/2010 - 12:17 GMT. Phân tích chi tiết về mặt kỹ thuật Về bản chất, chúng được tạo ra để lấy trộm thông tin cá