Win32/Spy.Banker [Threat Name] go to Threat

Win32/Spy.Banker.BIG [Threat Variant Name]

Category trojan
Size 260 KB
Aliases Trojan-Spy.Win32.Banker.bmg (Kaspersky)
  Infostealer.Banpaes (Symantec)
Short description

Win32/Spy.Banker.BIG is a trojan that steals passwords and other sensitive information.

Installation

In order to be executed on every system start, the trojan sets the following Registry entry:

  • HKEY_LOCAL_MACHINE\­Software\­Microsoft\­Windows\­CurrentVersion\­Run\­SySPowers

The entry contains path to the executable of the trojan .

Information stealing

The trojan collects various information when Internet Explorer is being used to access the following sites:

  • C:\­BancoBrasil\­officeIE\­index.html
  • http://www.bancoamazonia.com.br/
  • http://www.bancoreal.com.br/
  • http://www.banese.com.br/
  • http://www.besc.com.br/
  • http://www.bnb.
  • http://www.bradesco.com.br
  • http://www.equifax.com.br/
  • http://www.hsbc.com.br
  • http://www.itau.com.br/indexIE.htm
  • http://www.lusobrasileiro.com.br/
  • http://www.safranet.com.br/
  • http://www.serasa.com.br/
  • http://www.unibanco.com.br/hom/index.asp
  • https://banknet.brb.com.br/iBanking/
  • https://bradesconetempresa.com.br/ne/iniciasessao.asp
  • https://internetcaixa.caixa.gov.br/NASApp/SIIBC/index_verif.processa
  • https://netbanking2.banespa.com.br/default.asp?txtAgencia=
  • https://ww8.banrisul.com.br/bto/link/msie/Btopishw.asp
  • https://www.bancopaulista.com.br/PaulistaHB/
  • https://www.credicarditau.com.br/portals/credicardportal/cadastrese/login.jsp
  • https://www.latam.citibank.com/brasil/application
  • https://www.mercantildobrasil.com.br/ibk/paginas/Autenticacao/LNA
  • https://www.santandernet.com.br/default.asp?txtAgencia=
  • https://www2.rural.com.br/RuralIBank/principal.jsp
  • https://www2.rural.com.br/SimplesIBank/principal.jsp
  • https://wwws.nossacaixa.com.br/bemvindo.asp

It also monitors windows with any of the following strings in the name:

  • A senha de oito números somente é usada para o login
  • Mantenha sua senha em sigilo
  • Verifique um pequeno cadeado fechado na parte inferior do navegador
  • Evite abrir arquivos executáveis anexados ŕs suas mensagens
  • Năo enviamos e-mail sem a sua permissăo
  • Nao faça alteraçăo cadastral por e-mail
  • Escolha "senhas" diferentes do seu nascimento, CPF e n° seqüenciais
  • Troque sua senha caso ela possa ser descoberta facilmente
  • Evite que outras pessoas vejam vocę digitar a sua -senha-
  • Nao abra e-mail de origem desconhecida
  • Note se no início do campo "endereço" surgem as letras "https"
  • Somente aceite ajuda de funcionário com crachá nos horários de expiente bancário
  • Memorize suas senhas sem anotá-las
  • Sempre consulte esta página para novas informaçőes sobre segurança
  • Evite realizar operaçőes em equipamentos de uso público
  • Mantenha atualizado o sistema operacional, o navegador e o anti-vírus/trojan
  • Năo use atalhos em e-mail para acessar o site. Digite o endereço direto no navegador
  • Cuidado com links e downloads contidos em mensagens promocionais
  • Năo permita que outras pessoas conheçam os seus dados de acesso
  • Năo abra arquivos de origem desconhecida

The collected information is stored in the following folder:

  • %windir%\­debug

The trojan sends the information via e-mail.

Other information

The trojan tries to download and execute several files from the Internet.

Please enable Javascript to ensure correct displaying of this content and refresh this page.