Threat Encyclopedia

Selected viruses, spyware, and other threats: sorted alphabetically

Installation

In order to be executed on every system start, the trojan sets the following Registry entry:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SySPowers

 

The entry contains path to the executable of the trojan.

Information stealing

The trojan collects various information when Internet Explorer is being used to access the following sites:

C:\BancoBrasil\officeIE\index.html
http://www.bancoamazonia.com.br/
http://www.bancoreal.com.br/
http://www.banese.com.br/
http://www.besc.com.br/
http://www.bnb.
http://www.bradesco.com.br
http://www.equifax.com.br/
http://www.hsbc.com.br
http://www.itau.com.br/indexIE.htm
http://www.lusobrasileiro.com.br/
http://www.safranet.com.br/
http://www.serasa.com.br/
http://www.unibanco.com.br/hom/index.asp
https://banknet.brb.com.br/iBanking/
https://bradesconetempresa.com.br/ne/iniciasessao.asp
https://internetcaixa.caixa.gov.br/NASApp/SIIBC/index_verif.processa
https://netbanking2.banespa.com.br/default.asp?txtAgencia=
https://ww8.banrisul.com.br/bto/link/msie/Btopishw.asp
https://www.bancopaulista.com.br/PaulistaHB/
https://www.credicarditau.com.br/portals/credicardportal/cadastrese/login.jsp
https://www.latam.citibank.com/brasil/application
https://www.mercantildobrasil.com.br/ibk/paginas/Autenticacao/LNA
https://www.santandernet.com.br/default.asp?txtAgencia=
https://www2.rural.com.br/RuralIBank/principal.jsp
https://www2.rural.com.br/SimplesIBank/principal.jsp
https://wwws.nossacaixa.com.br/bemvindo.asp

It also monitors windows with any of the following strings in the name:

A senha de oito números somente é usada para o login
Mantenha sua senha em sigilo
Verifique um pequeno cadeado fechado na parte inferior do navegador
Evite abrir arquivos executáveis anexados ?s suas mensagens
N?o enviamos e-mail sem a sua permiss?o
Nao faça alteraç?o cadastral por e-mail
Escolha "senhas" diferentes do seu nascimento, CPF e n° seqüenciais
Troque sua senha caso ela possa ser descoberta facilmente
Evite que outras pessoas vejam voc? digitar a sua -senha-
Nao abra e-mail de origem desconhecida
Note se no início do campo "endereço" surgem as letras "https"
Somente aceite ajuda de funcionário com crachá nos horários de expiente bancário
Memorize suas senhas sem anotá-las
Sempre consulte esta página para novas informaç?es sobre segurança
Evite realizar operaç?es em equipamentos de uso público
Mantenha atualizado o sistema operacional, o navegador e o anti-vírus/trojan
N?o use atalhos em e-mail para acessar o site. Digite o endereço direto no navegador
Cuidado com links e downloads contidos em mensagens promocionais
N?o permita que outras pessoas conheçam os seus dados de acesso
N?o abra arquivos de origem desconhecida

The collected information is stored in the following folder:

%windir%\debug

The trojan sends the information via e-mail.

Other information

The trojan tries to download and execute several files from the Internet.