Analysis Date2015-02-01 13:41:41
MD5beba9e104fbee8b85a323e679c4102bb
SHA17b503eb745c2290f0a43e22cd05cb3b5c3cff921

Static Details:

File typePE32 executable for MS Windows (GUI) Intel 80386 32-bit
SectionUPX0 md5: 9cf23d5582f564b9e52a6be85ea56f6a sha1: 77b0bb34d2694855112b46089c06de040843ef13 size: 970752
SectionUPX1 md5: a4bf6288c49fcb93fbc116aa924f1340 sha1: 63e593e9e0b6328f04c6bde0f88d0accc533fb0c size: 141312
Section.rsrc md5: cd8e81a8b93e105b9ca0f6493fac41a4 sha1: f5ec8a22ed88a034dba49745c6dbf0f644422d5f size: 7168
Section.imports md5: a94f26df60b254b0391cf0ad945c776d sha1: 7efe6c59b506c62e30507f4511214d9c09472b3e size: 2048
Timestamp2029-10-13 15:59:23
VersionLegalCopyright: Microsoft Corporation
InternalName: cgc015
FileVersion: 1.00.0024
CompanyName: Microsoft Corporation
LegalTrademarks: Microsoft Corporation
Comments: Microsoft Corporation
ProductName: Microsoft Corporation
ProductVersion: 1.00.0024
FileDescription: Microsoft Corporation
OriginalFilename: cgc015.exe
PackerMicrosoft Visual Basic v5.0
PEhashd327c35079ffcde80758da86ac8ae68bf5c37f81
IMPhashd532ccf0122d56530810ec998286a309
AV360 Safeno_virus
AVAd-AwareGeneric.Banker.VB.3B273FE8
AVAlwil (avast)Bancos-XQ [Trj]
AVArcabit (arcavir)Generic.Banker.VB.3B273FE8
AVAuthentiumW32/VB-Trojan-SPY-based!Maximus
AVAvira (antivir)TR/Spy.Banker.Gen
AVBullGuardGeneric.Banker.VB.3B273FE8
AVCA (E-Trust Ino)Win32/Banker.D!generic
AVCAT (quickheal)no_virus
AVClamAVTrojan.Bancos-122
AVDr. WebBackDoor.Generic.941
AVEmsisoftGeneric.Banker.VB.3B273FE8
AVEset (nod32)Win32/Spy.Bancos.U
AVFortinetW32/Bancos.NJN!tr
AVFrisk (f-prot)W32/VB-Trojan-SPY-based!Maximus
AVF-SecureGeneric.Banker.VB.3B273FE8
AVGrisoft (avg)PSW.Banker.BHU
AVIkarusTrojan-Spy.Win32.Bancos.u
AVK7Backdoor ( 04c521f41 )
AVKasperskyTrojan-Banker.Win32.Bancos.u
AVMalwareBytesTrojan.FakeMS.ED
AVMcafeePWS-Banker.gen.j
AVMicrosoft Security EssentialsTrojanSpy:Win32/Bancos.U
AVMicroWorld (escan)Generic.Banker.VB.3B273FE8
AVRisingTrojan.VBInject!48DD
AVSophosTroj/Bancos-CF
AVSymantecInfostealer.Bancos!gen
AVTrend MicroTSPY_BANCOS.N
AVVirusBlokAda (vba32)TrojanSpy.Bancos

Runtime Details:

Screenshot

Process
↳ C:\malware.exe

Creates Filec:\windows\jdbgmgrnt.exe
Creates Processc:\windows\jdbgmgrnt.exe

Process
↳ c:\windows\jdbgmgrnt.exe

RegistryHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Service Registry NT Save ➝
"c:\windows\jdbgmgrnt.exe"\\x00
Creates FileC:\WINDOWS\runlog.dat
Creates FileC:\Documents and Settings\Administrator\Local Settings\Temp\~DFC40F.tmp
Creates FilePIPE\lsarpc
Creates File\Device\Afd\AsyncSelectHlp
Creates File\Device\Afd\Endpoint
Creates File\Device\Afd\AsyncConnectHlp

Network Details:

DNSsmtp.mail.us.am0.yahoodns.net
Type: A
98.139.211.125
DNSsmtp.mail.us.am0.yahoodns.net
Type: A
63.250.193.228
DNSsmtp.mail.us.am0.yahoodns.net
Type: A
98.138.105.21
DNSsmtp.mail.yahoo.com.br
Type: A
Flows TCP192.168.1.1:1031 ➝ 98.139.211.125:25

Raw Pcap

Strings
0000
0.0.0.0
040904B0
1.00.0024
1111
11111
111111
11111111
123456
2222
22222
222222
22222222
255.255.255.255
3333
33333
333333
33333333
ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/
Address already in use.
Address family not supported by protocol family.
Agencia .................: 
Agencia..................: 
AGENCIA:
Aten
 Aten
AUTH LOGIN
Aviso ! ! !  
B$-;
Bad Address.
Bad Base64 string.
Bad character In Base64 string.
Bad file number.
Banco.....................: Banco do Brasil
Banco.....................: BRADESCO
\BancoBrasil\officeIE\index.html
Banco.....................: CEF
Banco.....................: GERENCIADOR
Banco.....................: Itau
bankline.itau.com.br
Base64Decode
body
Can't assign requested address.
Can't send after socket shutdown.
carneinnnno
cgc015
cgc015.exe
Chave de Acesso..........: 
CLIENTE:
Comments
CompanyName
Confirma
Connection refused.
Connection reset by peer.
Connection timed out.
Conta:
Conta......................: 
CONTA
CONTA:
>> CONTA EM OPERA
copy
DATA
Date: 
DDDD , dd Mmm YYYY hh:mm:ss AM/PM
dd/mm/yy
De.: AM 
De.: AZ 
De.: GE 
De.: LA 
Destination address required.
De.: VE 
Directory not empty.
Disconnect.
Disk quota exceeded.
djmuskytoo1@yahoo.com.br
Document
do de preenchimento obrigat
do deve ter no m
do inferior a 5 caracteres
do inferior a 6 caracteres
do Inv
Endere
Erro: no aguardo do pag. do download, e vai pagar...
Error getting linger info: 
Error setting linger info: 
Erro: Senha Eletr
Erro: Senha Inv
eURL
.exe
execCommand
FileDescription
File name too long.
FileVersion
FIND ERROR
frames
From: 
Gerenciador de tarefas do windows
gitos..: 
gitos do cart
gitos do N
GOD DAMNIT, the internet doesn't work...
HELO 
Host is down.
Host not found.
https://bankline.itau.com.br/GRIPNET/gracgi.exe
https://www2.bancobrasil.com.br/aapf/aai/principal
https://www2.bancobrasil.com.br/aapf/personalizacao/coca.jsp?cod=1
https://www2.bancobrasil.com.br/aapf/saldos/006.jsp?codT=0
https://wwwss.bradesco.com.br/scripts/ib2k1.dll/LOGINCHK#top
hwnd
If wVersion == 257 then everything is kewl
iMaxSockets=
iMaxUdpDg=
Informe a chave de acesso.
Informe a senha de acesso.
innerHTML
InternalName
internetcaixa.caixa.gov.br
Interrupted system call.
Invalid Argument.
\jdbgmgrnt.exe
JSHNFIUYE9ING98Y30FK9884H097SH009VHBW08HIPWE97U4IUM0UWIJ3B
LegalCopyright
LegalTrademarks
lida
lida !
lido
Linger is on if nonzero: 
Linger time if linger is on: 
MAIL FROM:<
mero do Portador
mero do Portador, conte
Message too long.
Microsoft Corporation
ncia:
NCIA:
Network dropped connection.
Network is down.
Network is unreachable.
Network subsystem is unusable.
nica, conte
nica: Conte
nica n
nimo 4 caracteres !
nimo 6 caracteres !
nimo 8 caracteres !
No buffer space available.
Nonauthoritative host not found.
Nonrecoverable error.
No route to host.
Not compatible system
NOTIFICATION - 
Nr Portador.: 
o.: 
o............: 
O:  
o: Chave de acesso inv
o conclu
o, conte
o: Conte
o: erro na senha do cart
o: erro na senha eletr
o: erro nos 5 d
o: Erro nos 5 D
o: erro nos 6 d
Operation already in progress.
Operation not supported on socket.
Operation now in progress.
Operation would block.
o pode ser diferente de caracter Num
o: Resposta Secreta: Conte
OriginalFilename
o: Senha: Conte
o: Senha da Conta: Conte
o: Senha de acesso inv
o: Senha do Cart
o: Senha Eletr
o: Senha Internet: Conte
outerText
P*\AG:\Suporte 02\SauEmail 3.6\SAUlight.vbp
Permission Denied.
procliente@proga.com.br
ProductName
ProductVersion
@proga.com.br
Protocol family not supported.
Protocol not available.
Protocol not supported.
Protocol wrong type for socket.
QUIT
RCPT TO:<
Resposta Secreta....: 
rico.
rio.
\runlog.dat
sau1
sau2
sau3
selectall
Senha da Conta......: 
Senha de 4 d
Senha de 8 d
Senha de Acesso............: 
Senha de Auto-Atendimento..: 
Senha do Cart
Senha do Cartao.....: 
Senha do Eletronica.: 
Senha Eletronica....: 
Service Registry NT Save
Sess
smtp.mail.yahoo.com.br
Socket is already connected.
Socket is not connected.
Socket operation on nonsocket.
Socket type not supported.
Software caused connection abort.
Software\Microsoft\Windows\CurrentVersion\Run
Stale NFS file handle.
StringFileInfo
Subject: 
szDescription=
szSystemStatus=
To: 
Too many levels of remote in path.
Too many levels of symbolic links.
Too many open files.
Too many processes.
Too many references: can't splice.
Too many users.
Translation
Unknown
unselect
Valid name, no data record of requested type.
VarFileInfo
VersionOnCD: 0x40007 0x29
VS_VERSION_INFO
wHighVersion=
WINDIR
Windows 95
Windows 9x
Windows NT
Winsock DLL cannot support this application.
Winsock not initialized.
wVersion=
www2.bancobrasil.com.br
X-Mailer: 
zzwind@bol.com.br
zzwindows@uol.com.br
```````````````
 $.' ",#
,--------
!!!!!!
!!!!!!!!!!!!
!!!!!!!!!{{{
!!!!!!{{{
!!!)))
!!!))){{{
!!!{{{
!!!{{{!!!{{{
!!!{{{{{{
!!!{{{{{{!!!
"!		!"
""""""""""""
))))))))
))){{{
{{{!!!
{{{!!!{{{!!!
{{{)))
{{{)))!!!)))
{{{{{{
{{{{{{{{{
{{{{{{{{{{{{
{{{{{{{{{{{{{{{{{{
{{{{{{{{{{{{{{{{{{{{{
{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
																														
,'020<
04-5<;>BavtA`]%FB
*069Af
077-9tfq
*:@07:BLL
 (08@P`p
0>-boB
0c(7xEMK68<@:
0!/G4Cz[j
0GI'>@
0G+L{e
&<;0Jag~
0>z,3a86ZKBombjdWL/(i=6o>4
!!!111
!!!111{{{
{{{!!!111
{{{111!!!!!!
{{{111{{{!!!
111{{{
111111
111!!!111
!!!))))))111111999999999111999RRRRRRBBB999BBBRRRRRRJJJJJJBBB
111111BBBccc{{{
!!!111111BBBRRRccccccRRRRRRBBBBBB
111111ccc
111111RRR
111BBB
111BBB{{{
!!!111BBB111!!!
!!!!!!!!!111BBBRRRRRRcccRRRRRRBBBBBB
!!!111BBBZZZZZZccccccBBBBBBBBB
111BBBZZZZZZcccccccccBBBBBBBBB
111ccc
!!!111ccc{{{!!!
111ccc!!!!!!!!!111
111JJJ
)))111JJJBBB999)))!!!!!!!!!)))999ZZZsss
111kkk
111RRR{{{
111RRRcccRRR
!!!111RRRsss{{{
111ZZZ{{{
111ZZZkkkssssss{{{{{{{{{{{{sss{{{sss{{{{{{
111ZZZ{{{{{{{{{{{{{{{ZZZZZZ
"*1'1;Hcq*_l
11s!!h
1<1 -W>HF<B,./+103-2[>M:$6Wgt
1)4L8EpM[
1//890
!.!18Bjik
1ae-86./+Tfe
*1D53IRl}p
1;FZ07J10D
1G49R$+D
1GL,.6
1,.i6=Z&-3(*
\1iC!eC%Z<'
1,J,b[LI
);1?R?j{
````2```
!="2>(:
222_1Vo
!22222222222222222222222222222222222222222222222222
^222_2s
*;23H@Vht
`2^3^M
2a?9Y]U
2ae(+0I=C
%+2D/8|?MuAK
*2Hnp^
(/2T28O25
[2:T&5=
2zwP<h
333333
333333333
333333333333
333333333333333
(3;),4.>E
$3,)8jbm
>%39-9nbn
{[3gqR
`3(i{p
3JEU@>^IH
3P8_{Y
4'/25:x
%&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz
46@/#/
>48peb
?4>9!-
4=A8,,721J`en
4B3?K6?H-8<.@?&8903BPdur
4:CGII+43g
*4!^gb<
;4;i7C
&4R^p|TmZ&>5
`-4t@GbUWxsu
4vTWXXXXWXXX
4wwws444
-5326Y46
&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz
56n777)(9:
5?#8@=U[1NU
5Ma3&R
/%6/2G4E_
6'/6"5u
%&6666666""""""""""6)p,wwwwwwww
&6<E+1D/2
)@, 6\jvw
"$/-,6]r
6ZjP/>a0>pcq
(7),01444
($)716Vpwa
.7/5@KU_\fpW`iqv
79ArCSg.=X6A<8>
79CLLLLLL
.7A'!,
7CAryG!KZ
).7@%?F\~
(*>7:G;G>4A
<*;7$=l
7'psGIIIIII
  &.,8}
	86762gB>
8g;XT":>
/8iHw&
&$8N6HA)5GAF
8><qqqCCCC+++
8yM	hPkRm
.(-9,<}
.90D*+?#1D
+95U;5ZG@
+97&4E,:8<G	&/
'9=82<.342
)))999
999{{{{{{
999999)))
999999111111BBB
!!!999BBB{{{
!!!999ccc
)))!!!999ccc{{{
!!!999kkk
999RRR
999RRRccccccccccccZZZRRRRRRRRRZZZccckkk
!!!999sss
999!!!)))ZZZ{{{{{{
999ZZZ{{{
9CIJJJJ+
(&9.+En
&9FP7KC#6>7FOip
-9GFP]af
&9+HGGGGGGGGG
$?9J44F&FSN
9!!R<Aeag
>:9U92TF:
*&9yQcv?PW!.J<B{
9yUWWWWWWWW
a22222\zpmm
A3,{xB
a&{a%^\"Qe*g
a CAIXA
_adj_fdiv_m16i
_adj_fdiv_m32
_adj_fdiv_m32i
_adj_fdiv_m64
_adj_fdiv_r
_adj_fdivr_m16i
_adj_fdivr_m32
_adj_fdivr_m32i
_adj_fdivr_m64
_adj_fpatan
_adj_fprem
_adj_fprem1
_adj_fptan
adj_fptanY
advapi32
advapi32.dll
\a`HJJIHJ\X^]U`5+8<BM,RT<zz_
"*\AKX;D
=;AL'1
_allmul
A[lV1An7FgN\
)|aM'y
Anr.'45$2
Arial'
Arial0
a, ser
.aspack
[AspackDie!]
ate Desau4
atendimento
Auto-Atendimento
AWb>GQ
b``2hP
"!*B+3eO[
=B3fim
B9CXBN%
Banco Ita
!!!!!!!!!BBB
!!!!!!BBB{{{
!!!{{{!!!BBB
!!!BBB{{{
)))BBB
)))BBB{{{
{{{!!!!!!BBB{{{
{{{!!!BBB{{{
{{{BBB!!!!!!{{{
BBB!!!
BBB!!!{{{
BBB{{{
!!!{{{BBB111
BBB!!!111111{{{!!!{{{
!!!{{{{{{BBB999ccc
{{{BBB!!!!!!!!!999ccc
BBBBBB
!!!{{{BBBBBB!!!
`bbbbbbbbb[
bbbbbbbbbbb
!!!BBB{{{BBBccc
!!!BBBBBBZZZZZZccccccBBBBBBBBB
BBBccc
!!!BBBccc
!!!!!!BBBccc{{{
{{{!!!BBBccc
BBB!!!)))!!!ccc!!!!!!!!!!!!ccc
BBBcccccc{{{
BBB!!!!!!ccc{{{cccRRR
BBBkkk
BBBRRR
{{{BBB!!!!!!!!!!!!!!!!!!!!!RRR{{{
BBBRRR{{{
BBBRRRcccRRR
!!!BBBsss
{{{BBBsss
BBBZZZ
{{{BBBZZZ
{{{BBB!!!!!!ZZZ
BBBZZZ{{{
!!!BBB{{{{{{{{{{{{{{{ZZZZZZ
bbnG$.~ISb-:N5?
bntEntrar
bntVoltar
Bradesco - Microsoft Internet Explorer
brargH
B$RTbE
;-/B=>r\^z/7y17
btnAuto
btnCapsLock
btnCartao
btnConfirmar
btnEntrar
btnLimpar
btnSenha
b?u/Zp!ow0U_1Qb=
^BVO4H*5C
b_WU63J?A
>$*C56jtt
c5kZCHV
C8;6%(@24MBE[W]@BM]w
\_c9dE$\>!+/
Cadeado de seguran
Caixa Econ
CallWindowProcA
C:\Arquivos de programas\Microsoft Visual Studio\VB98\VB6.OLB
CBDEEEEEEEEEE
!!!ccc
!!!!!!!!!!!!ccc!!!{{{
!!!)))ccc
!!!)))ccc{{{
!!!ccc!!!{{{
!!!ccc{{{
)))ccc
)))ccc{{{
{{{ccc
{{{{{{ccc
{{{{{{ccc{{{
{{{ccc{{{
ccc!!!
ccc!!!{{{
ccc!!!{{{!!!{{{
ccc{{{
!!!{{{ccc111
{{{!!!ccc111
ccc111!!!
ccc111!!!!!!
ccc111BBBBBBccc{{{
{{{ccc999!!!!!!
cccBBB
!!!{{{cccBBB
{{{cccBBB
{{{{{{cccBBB
{{{cccBBB!!!
ccc!!!BBB
cccBBB!!!
!!!cccBBBBBB
{{{cccBBBBBBBBBBBBBBBBBB111111111111!!!!!!!!!111111111BBBBBBBBBBBBBBBBBBBBB
{{{{{{cccBBBBBBBBBBBBBBBBBB111BBB111111111111111111111111BBBBBBBBBBBBBBBBBBBBB
{{{cccBBBBBBBBBBBBBBBBBBBBB111111!!!!!!!!!!!!111111111111BBBBBBBBBBBBBBBBBB
{{{cccBBBBBBBBBBBBBBBBBBBBB111!!!!!!!!!!!!!!!111111111BBBBBBBBBBBBBBBBBBBBB{{{{{{cccBBBBBBBBBBBBBBBBBBBBBBBB!!!!!!!!!!!!!!!!!!!!!BBB!!!BBBBBBBBBBBBBBBBBB{{{{{{cccBBBBBBBBBBBBBBBBBBBBBBBB999999999999999999999BBBBBBBBBBBBBBBBBBBBBBBB
{{{cccBBBBBBBBBBBBBBBBBBBBB999999))))))))))))999999999BBBBBBBBBBBBBBBBBBBBB
{{{{{{cccBBBBBBBBBBBBBBBBBBBBBBBB111111!!!!!!!!!!!!111111BBBBBBBBBBBBBBBBBBBBB
{{{cccBBB!!!!!!!!!BBBZZZccc{{{{{{
cccBBBccc
!!!cccBBBcccccc!!!{{{
cccccc
{{{cccccc
{{{cccccc{{{{{{
ccc{{{ccc{{{
cccccc{{{
{{{ccccccBBB
ccccccBBBBBBZZZ{{{
cccccccc
ccccccccc
{{{{{{{{{ccccccccc{{{{{{
ccc!!!{{{!!!ccc{{{ccc!!!
ccc!!!ccc!!!ccc
ccc{{{cccccc
cccccc{{{ccc
ccccccccc{{{
ccccccccc!!!ccc
cccccccccccc{{{ccc
{{{cccccccccccccccccccccccccccccccccccccccccccccccccccccccccBBBBBBBBB
{{{{{{cccccccccccccccccccccZZZZZZBBBBBBBBBBBBZZZZZZZZZcccccccccBBBBBBBBB
{{{{{{ccccccccccccccccccZZZ)))!!!!!!)))BBBBBBZZZZZZZZZcccccccccBBBBBBBBB
{{{{{{cccccccccccccccRRRBBBBBB999999999999BBBRRRRRRccccccccccccRRRBBBBBB
{{{{{{ccccccccccccRRRBBB111
{{{{{{ccccccccccccZZZBBB!!!!!!
{{{{{{ccccccccccccZZZBBB111!!!
{{{{{{ccccccccccccZZZZZZBBB111111!!!!!!111BBBBBBZZZccccccccccccBBBBBBBBB
{{{{{{ccccccccccccZZZZZZZZZBBB!!!!!!
cccFFFmmm
{{{cccJJJ999999RRRkkksss{{{
{{{cccRRR
{{{cccRRR!!!!!!!!!!!!!!!999BBBcccccc{{{{{{
{{{cccRRRBBBBBBBBBBBBBBBBBB111BBB111111111111111111111111111111BBBBBBBBBBBBBBB{{{ZZZZZZBBBBBBBBBBBBBBBBBBBBBBBB!!!BBB!!!!!!!!!!!!BBB!!!BBBBBBBBBBBBBBBBBBBBB{{{cccRRRBBBBBBBBBBBBBBBBBBBBB999999999999999999999999999999BBBBBBBBBBBBBBBBBB
{{{cccRRRBBBBBBBBBBBBBBBBBBBBBBBB111111111111111111111111111111BBBBBBBBBBBBBBB
!!!cccRRRcccRRR!!!
!!!ccc!!!sss!!!
cccZZZ
{{{cccZZZ
cccZZZ{{{{{{
{{{{{{cccZZZBBB111
ccc!!!ZZZBBBBBB
{{{cccZZZBBBBBBBBBBBBBBBBBBBBBBBBBBB999999999999999999999999BBBBBBBBBBBBBBBBBB{{{ZZZBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB{{{ZZZZZZBBBBBBBBBBBBBBBBBBBBBBBBBBB111111111111111111111111BBB111BBBBBBBBBBBB
cccZZZ!!!cccccc!!!{{{
cccZZZ)))))))))ZZZccc{{{{{{
CC/QQ"9A0@LFVb/=IJYbRcl
CDEEEEEEEEEE
cDEg84s<7m45[9?#-7
cEJZ=4JH6
`CF1F=`
}C`f_^h_
(!CG@"
cgc015
Chave de acesso
CH!YtM
_CIatan
_CIcos
_CIexp
:CIJJJJJJJJ
_CIlog
_CIsin
_CIsqrt
_CItan
c_{KEW2*_A<]@<qJLj;=s;6y95~57W$+CBK
Cliente:
ClientToScreen
ClipCursor
clique aqui
closesocket
cmdEntrar
cmdLimpar
cmdLimparAuto
cmdLimparCartao
cmdLimparConta
connect
Conta:
CONTA:
...  contraste ...
Courier'
Courier0
Courier New
*CSFao
 D1@8.>
_[d1HP
d3fffeg
d9FU,;34B1fs`
d(-9JL*@
}db]%*T6;
DeleteMenu
 deve informar seus dados novamente e a Senha da Conta.
deve ser confirmada a senha de Auto Atendimento e Senha do Cart
$D	/f7{
dggggdg
div_m640
DJ!BEDim
DllFunctionCall
download
DQGpf3
d^w=V]$\K
[<Eh/8g59aWMCL7<A&SL9A&*
e><j=:N7;:GOB
eloF'0a;A
EnumChildWindows
Enviar
]EOF/7.7:
ErGmV4
ERRO! ( G03 - Falha na Comunica
Esqueci minha resposta secreta.
E~uq__
EVENT_SINK_AddRef
_EVENT_SINK_[f
EVENT_SINK_QueryInterface
EVENT_SINK_Release
ExitProcess
F3X7Z_s
%=;F9;MDG
Falha ao exibir esta sess
f#BH,C
fd|ECn10f! _
+FEEEEGGEGE
 - Feito Para Voc
ffffff3hhi
fffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff
-fg$3/9:6
fhPv[4o
F?N?6CPBN
Fqe+{8
frm_Azul
frm_Gerenciador
frm_Laranja
frmMenu
frm_Red
frm_Servico
$fx3ew.i|@
fYiM:I=)6
fZfB>J<?M
g'3o5@b5>
g5:p59[
gal.)2!#-Xaj
|gE^BqW/
GetClientRect
GetComputerNameA
GetCurrentProcessId
GetDesktopWindow
gethostbyaddr
gethostbyname
gethostname
GetModuleHandleA
getpeername
GetProcAddress
getprotobyname
getservbyname
getsockname
getsockopt
GetSystemMenu
GetUserNameA
GetVersionExA
GetWindow
GetWindowTextA
GIF89a
GIF89a 
GIF89a&
GIF89a0
GIF89a2
GIF89ac
GIF89aC
GIF89aE
GIF89aH
GIF89aZ
gitos do Cart
gitos, Senha do Cart
GJ@"[\
_g:'*JJJ
GJR$'/0<B
g.Kv.$w
>gp?ABJ>>\^_
)GX )6i
GY20DH
h0;d43b>8
+#*h0=Q*2
H,2I (
h!7O'=
Hb~I'S*
HbnF.6u@Cw76
hCCj  
H\/FrUE
HI@N=#>2
/HJ*=@7BF
?HL:%.
Houve falha na autentica
Houve falha na comunica
Houve  problema  na  comunica
Houve problema na comunica
htW5@e7CwY^U_YLk\KgT;G;XAFqYe
+huld no
hykg\>bJ
I85)$%
=?@IAAxwm
:iAj:R
Identifica
idnNC_L?J2&b4-
ILr0Lh-5P%
$_i=/;M)7h^n
Image1
Image2
imgConfimar
.imports
imprensa
inet_addr
inet_ntoa
Informe a chave de acesso.
!i@nq%9ea
INx*iP$"
IWc'ZY!KF
*=J1):ZAUE3D
j7:`/1`02`02`02`02`02`02`02_02_02_02_02_02`02`02`02`02`02`02`02`01]25a./r
JAr4Sh*K`)
<`jbW_
}#j,h4
}#jHh4
$j{-hx:x
JIFlkb
'>;=^jj
)))JJJ
)))JJJ{{{
JJJccc
JJJkkk
JJJZZZ
jneDA[HA3>44TIt
jse:CX/-dG@
jSWWWWj
jxlb{7r~3Qv
j#zWXWWTx
kernel32
kernel32.dll
KERNEL32.DLL
&khCx{;^XX
,/#&+Kho
KJJJIJI
=\K<|K
k!!kBBs
kkkccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccZZZZZZRRRRRRRRRRRRZZZZZZcccccccccccccccccccccccccccccccccccccccRRRBBBBBB
kkkkkk5yP
{{{kkkRRR
kkkZZZJJJ
KLLLMLs
kMMMMMMMMMMLQMM--P-
k,tT1`A
kt}TES/ .
kv}Jvq4i`
~`kwLOW)(eFE
l6noFGGGGGGGG
Label1
Label10
Label11
Label12
Label13
Label14
Label18
Label19
Label2
Label21
Label22
Label23
Label24
Label25
Label26
Label3
Label4
Label5
Label6
Label7
Label8
Label9
lblAgencia
lblCliente
lblCliqueAqui
lblConta
lblErro
lblNrPortador
lblTexto
lblTextoErro
>]lC6>\8>f>I{dl`llQ\ZX;>T?BIhgy
LCFI47,01
LE2MD66+-
>]@l|egcPI8#@,
Line10
Line11
Line12
Line13
Line14
listen
ln6n9p+q>?@@?@@??@????@
LOADER 
LOADER ERROR
LoadL`
LoadLibraryA
l+\S	CK
lstrlenA
+lt=@HK6?[Qa
{]"^L'WXD
m6'9oC>?A??A?AA?A???
M 7 thd
Mantenha sua senha em sigilo. - Microsoft Internet Explorer
mapa do site
mdlWinsock
mdlWinsockAPIs
^meF=9213t
mero do Portador:
MessageBoxA
mica Federal - Microsoft Internet Explorer
Microsoft
 - Microsoft Internet Explorer
Minha resposta secreta 
mm}'<]
M#MD#Z
mmmmmm
mmmmmmm
mmmvvv
MmvCqm:VR
mod_Encript
mod_Funcoes
mod_Inicializacao
modSMTP
modTravando
_!ModuleHanE
mod_Variaveis
mouse_event
mpkEqiE
*MRYn!
msvbvm60.dll
MSVBVM60.DLL
msvbvmK
mZi3)6
)n$$$*
N7?I8A
N7?V6;J1/Q84fFGO,0a9DNCM
'#(NA?u^\G'(N=@>ST
n:CGIIIIIIII
 necess
NETSCAPE2.0
nica, Senha do Cart
nica: usada para acesso ao Bankline
nica, usando o Teclado Virtual.
nlblTexto
nmW;^;
nnoFGGGGGGGGGG
Noy7fj#^b
n_PtC-w
nRQSSSSSSSS
NsqN;>_?D;8:=YY
#n*;Xt;
o*****+8q<<=;;;==;;=;;;;;;==;
o com seguran
octOdb9NJ
o de Autentica
o de seus dados como: Senha Eletr
o de seus dados tais como: Senha de 4 D
o de Usu
o: digite aqui a sua
o: digite aqui os 5
o divulgue a sua senha. - Microsoft Internet Explorer
o e Confirma
o e Identirica
o  e  para  aumentar  sua seguran
o e para aumentar sua seguran
OffsetRect
O-h$$X
O!_I AI*#Q;1
ONMMMM
&:ONNNNNNNMMMMNMMNNNNNNMNNNMNNN
oooooo
oooooooo
o: para acesso ao Caixa Eletr
o, para continuar sua opera
o, para sua maior seguran
o, por medida de serguran
o Positiva
o Positiva.
OPPPPPPPP
opr	*.
o+q<>===@==@==@=====
o+qDEEEEEEEEEr
o#Q^ /~K3
osJLLuLuLLL
OvLabel24
+Owwwww
\ox(np
oz[]]]]
P05tIL8
p}1____
P,8]<J
?P8l|y
`\p92f<5\ECV_b
<Pb+-?33AJIS
")pCBDADDAADAAAAr
pctExclamacao
p,d9+a<W
Picture1
Picture11
Picture12
Picture17
Picture2
Picture3
Picture32
Picture33
Picture4
Picture5
Picture6
Picture7
Picture8
Picture9
PPP===
PPPccc
--PPPP
,PPPPPPPP
Problemas com o campo
pr_$yE'
'psIIIIIIIII
PSSSSS
(="[pT
p]X`/1Q<?T
q:^: ;
qDM0,+Ywr
QGMQ5;J2:
Q`iC/<9+7
QKL)EL
{.QLQIIIKGKGKGKGKGKG
qq<BDDADDDDDArDDA
<<<qqCCC++
~qq;ga
qrt]Qu
q(xk'ar3o
,....Qym
R|[[[[[[[[
\R_;.<.#3
R4MI0mE"pJ	xJ
RegCloseKey
RegCreateKeyExA
RegisterServiceProcess
RegSetValueExA
ria que informe sua Senha da Internet e Senha Eletr
rio a confirma
r:JR:{
rnc}${!
Rq<;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
RQd-_W"G5
!!!RRR
!!!RRR{{{
)))RRR
{{{RRR
{{{!!!RRR{{{
RRR!!!
RRR{{{
{{{RRR111
RRR111ccc
RRRBBB
RRRBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB999BBB999999BBB999BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
RRRccc
!!!RRRccc!!!{{{
RRR!!!ccc
!!!RRRcccccc
!!!RRRcccRRR
RtlMoveMemory
RUcD#8k!?
r^YG:8HUS
(R{YXYYYXXXX
s5o4We
SE3UlM
seguren
SendMessageA
senha,
Senha da Conta
Senha de
Senha de 4 d
Senha de acesso
senha do cart
Senha do Cart
senha eletr
Senha eletr
Senha Eletr
Senha Internet:
setsockopt
SetWindowLongA
SetWindowPos
Shape1
Shape10
Shape11
Shape2
Shape3
Shape6
Shape7
Shape8
Shape9
ShowCursor
ShowWindow
shpNrPortador
SIEAVS
SK{TLkC>n=;l00
sndPlaySoundA
socket
_sO!}H
{{{sss{{{
sss{{{
sssBBB
sssBBB)))!!!
sss!!!BBBsss
ssscccBBBJJJBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB999BBB999BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
{{{ssscccccccccccccccRRRBBB111!!!
{{{!!!ssscccRRR
ssscccRRRRRRRRRRRRZZZcccccccccZZZccccccccckkkkkkkkkccckkkkkkssskkkcccJJJ
{{{ssscccZZZZZZZZZkkksss{{{{{{
sssJJJ
sssJJJ!!!
sssRRR
{{{sssRRR!!!!!!
sssRRR{{{
sss!!!RRRBBB111{{{cccRRR
ssssssssscccsss{{{
sssZZZ
 SuServi
SW\;'4O
#SW)<C4)3^IR5+1O^a
SWUUUU
sWZ-[M
SystemParametersInfoA
t1 SRD
)+T49S8<`vt
Teclado Virtual
The ordinal %u could not be located in the dynamic link library %s
The prdur
The procedure entry point %s could not be located in the dynamic link library %s
!This program cannot be run in DOS mode.
Times New Roman
Times New Roman'
Times New Roman0
tmrGerenciador
tmrGif
tmrProcesso
@^t%O^
toCq<<<<><><;;;;;;;;;;;;;;;;;;;;
+=>;TO^q
tPBK T
TQ],*Q*,ZDIz{
t@rJHrOX
txtAgContaCliente
txtAgencia
txtChaveAcesso
txtCliente
txtConfirmacao
txtConta
txtNrPortador
txtResposta
txtSenha
txtSenhaAcesso
txtSenhaAuto
txtSenhaCartao
txtSenhaConta
txtTotalChar
:TXYYYYY
ty{ty{ty{ty{ty{ty{ty{ty{ty{ty{ty{ty{
U9i'cj
u_dQ>9<C6
u_dq<?g.,tMEYWL
Uho*+5
UlJqAY
_UmF=`GC
u%pDGk5nr18K
Uqx+/:
user32
user32.dll
U@?U:60-)
UUOwvl
-:<V4;<%*
'=V&4J
]V 5!f]
VBA6.DLL
__vbaAryCopy
__vbaAryDestruct
__vbaAryLock
__vbaAryMove
__vbaAryUnlock
__vbaAryVar
__vbaBoolVarNull
__vbaCastObj
__vbaChkstk
__vbaCopyBytes
__vbaEnd
__vbaErase
__vbaErrorOverflow
__vbaExceptHandler
__vbaExitProc
__vbaFileClose
__vbaFileOpen
__vbaForEachCollObj
__vbaFPException
__vbaFpI2
__vbaFpI4
__vbaFpR8
__vbaFreeObj
__vbaFreeObjList
__vbaFreeStr
__vbaFreeStrList
__vbaFreeVar
__vbaFreeVarList
__vbaGenerateBoundsError
__vbaHresultCheckObj
__vbaI2I4
__vbaI2Var
__vbaI4ErrVar
__vbaI4Var
__vbaInStr
__vbaInStrVar
__vbaLateIdSt
__vbaLateMemCall
__vbaLateMemCallLd
__vbaLenBstr
__vbaLenBstrB
__vbaLenVar
__vbaMidStmtBstr
__vbaNew2
__vbaNextEachCollObj
__vbaObjSet
__vbaObjSetAddref
__vbaObjVar
__vbaOnError
__vbaPrintFile
__vbaR8Str
__vbaRecAnsiToUni
__vbaRecUniToAnsi
__vbaRedim
__vbaResume
__vbaSetSystemError
__vbaStr2Vec
__vbaStrCat
__vbaStrCmp
__vbaStrComp
__vbaStrCopy
__vbaStrErrVarCopy
__vbaStrFixstr
__vbaStrI2
__vbaStrMove
__vbaStrToAnsi
__vbaStrToUnicode
__vbaStrVarCopy
__vbaStrVarMove
__vbaStrVarVal
__vbaUbound
__vbaUI1ErrVar
__vbaUI1I2
__vbaVarAdd
__vbaVarCat
__vbaVarCopy
__vbaVarDup
__vbaVarForInit
__vbaVarForNext
__vbaVarLateMemCallLd
__vbaVarLateMemCallLdRf
__vbaVarMod
__vbaVarMove
__vbaVarMul
__vbaVarSetObj
__vbaVarSub
__vbaVarTstEq
__vbaVarTstGe
__vbaVarTstLt
__vbaVarTstNe
__vbaVarVargNofree
<VgG-:d2<_.<5
VirtualAlloc
VirtualFree
vkaTk%
VO$eV5L; 5(
]vr3;:
~vr_CI0
Vu&Wo]
VXYYYYYYYYY
"VY]F]_"58B;@^X]
]"`WBX9G2
(#,wDRB
WEV4(:!=Hz
Wf]2oS*bE
=#wHA@g
winmm.dll
wltA&/W=CsmnYWWnehTDKL2?-$1u
WRc2*kD;a8/
WSAAsyncGetHostByAddr
WSAAsyncGetHostByName
WSAAsyncGetProtoByName
WSAAsyncGetProtoByNumber
WSAAsyncGetServByName
WSAAsyncGetServByPort
WSAAsyncSelect
WSACancelAsyncRequest
WSACancelBlockingCall
WSACleanup
WSAGetLastError
WSAIsBlocking
WSARecvEx
WSASetBlockingHook
WSASetLastError
WSAStartup
WSAUnhookBlockingHook
wsock32.dll
wsprintfA
WUy95u62
~Wvh4\`
wvnIw`0]I
WWWWWW
wwwwwwwwwwp
wwwwwwwwwwwwwwwwp
|X1|Y18
x:^/!5
XAEUBEi
xe|jKiV#UL
X`g9E62=-[c|
X+lA WL8MeY~
\Xl>=M6:8AJ._mk
x\^]]qoy]]]]]]]]
XSsRITE<
!#xyVRv
y[____
Y`[\73j2-uA:
Ycc),*?E:
Ygc6?>+.
ylcHjM2iG)G5
YpZLS2:8
yU[V/7
YVt-*}:=V4:/LQK
YY~XX~
(z|/~~~/////~
z________
=!zF<Ed
]Z\JGIV=Aq#.n*1
ZScA;Y62uKL
)z.UUUUUUUU
z|W~~~~~
ZWvpchj=i
zWXXXXX
zYo5Yd
!!!ZZZ
!!!!!!ZZZ{{{
!!!)))ZZZ
)))!!!ZZZ
{{{!!!!!!ZZZ{{{
{{{)))ZZZ
{{{ZZZ!!!!!!!!!{{{
ZZZ{{{
ZZZ{{{{{{
ZZZ111ccc
ZZZ999
ZZZBBB
{{{!!!ZZZBBB999
!!!ZZZBBBBBB
{{{ZZZBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB999999999999BBBBBBBBBBBBBBBBBBBBBBBB
{{{ZZZBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
ZZZBBBcccccc!!!
ZZZccc
!!!ZZZccc!!!{{{
!!!ZZZccc{{{
!!!ZZZccc{{{{{{
)))ZZZccc{{{{{{{{{
ZZZ)))ccc))){{{
ZZZccc!!!
ZZZccc{{{
!!!ZZZcccBBB
!!!ZZZccc)))ccc
!!!ZZZccc)))ZZZ
ZZZsss
ZZZZZZ
{{{{{{ZZZZZZ
ZZZZZZ{{{
{{{ZZZZZZBBBBBBBBBBBBBBBBBBBBBBBB111111111111111111111BBB111BBBBBBBBBBBBBBBBBB{{{ZZZZZZBBBBBBBBBBBBBBBBBBBBBBBB111111111111111111111111BBB111BBBBBBBBBBBBBBB{{{ZZZZZZBBBBBBBBBBBBBBBBBBBBBBBB999999999999999)))999999BBBBBBBBBBBBBBBBBBBBB
{{{ZZZZZZccc
ZZZZZZZZ