Troj_BankAsh-A
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
BankAsh-A surveille les accès Internet de l'utilisateur. Lorsqu'il détecte qu'un certain site Internet en relation avec une banque ou un site financier est accédé, il affiche une fausse page ou enregistre les informations entrées au clavier dans le but de récupérer un nom d'utilisateur et un mot de passe.
Les banques prisent pour cible sont les suivantes :
Barclays
Cahoot
Halifax
HSBC
Lloyds TSB
Nationwide
NatWest
Smile
Le troyen peut également dérober des détails sur un compte de messagerie ou un périphérique de stockage protégé. BankAsh-A envoi périodiquement les informations récupérées via un serveur FTP.
Lorsqu'il est exécuté, BankAsh-A dépose un composant DLL nommé "ASH.DLL" dans le répertoire '%Windows%', puis créait les entrées suivantes dans la base de registre système :
HKCR\CLSID\(C6176B04-8896-4446-9939-E00EE94C420F)
HKCR\AntiSpy.AntiSpy
HKCR\AntiSpy.AntiSpy.1
Le composant DLL s'enregistre ensuite en tant qu'"Interface" nommé "IIEHlprObj" et en tant que "Type Library" nommé "AS 0.96 Type Library". Pour cela, les entrées suivantes sont créait dans la base de registre système :
HKCR\Interface\(17A45F93-AEC8-440B-AC33-1BA9CC3192AC)
HKCR\TypeLib\(D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F)
BankAsh-A modifie également la page de démarrage d'Internet Explorer en modifiant les entrées suivantes :
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page
about:blank
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
Start Page
about:blank
BankAsh-A tente de désactiver ou terminer l'application Microsoft AntiSpyware, en supprimant (si elle existe) l'entrée suivante :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\gcasServ
et/ou en terminant les processus en relation avec Microsoft AntiSpyware:
GCASCLEANER
GCASDTSERV
GCASINSTALLHELPER
GCASNOTICE
GCASSERV
GCASSERVALERT
GCASSWUPDATER
GCIPTOHOSTQUEUE
GIANTANTISPYWAREMAIN
GIANTANTISPYWAREUPDATER
BankAsh-A essaye de bloquer les messages d'avertissement de Microsoft AntiSpyware et de supprimer les fichiers contenus dans le répertoire "C:\Program Files\Microsoft AntiSpyware".
BankAsh-A tente de d'interdire l'accès à certains site Internet en modifiant le fichier HOSTS trouvé dans le répertoire '%Windows%' ou '%SYSTEM%\drivers\etc'.
Taille: Inconnue
Détails techniques:
BankAsh-A surveille les accès Internet de l'utilisateur. Lorsqu'il détecte qu'un certain site Internet en relation avec une banque ou un site financier est accédé, il affiche une fausse page ou enregistre les informations entrées au clavier dans le but de récupérer un nom d'utilisateur et un mot de passe.
Les banques prisent pour cible sont les suivantes :
Barclays
Cahoot
Halifax
HSBC
Lloyds TSB
Nationwide
NatWest
Smile
Le troyen peut également dérober des détails sur un compte de messagerie ou un périphérique de stockage protégé. BankAsh-A envoi périodiquement les informations récupérées via un serveur FTP.
Lorsqu'il est exécuté, BankAsh-A dépose un composant DLL nommé "ASH.DLL" dans le répertoire '%Windows%', puis créait les entrées suivantes dans la base de registre système :
HKCR\CLSID\(C6176B04-8896-4446-9939-E00EE94C420F)
HKCR\AntiSpy.AntiSpy
HKCR\AntiSpy.AntiSpy.1
Le composant DLL s'enregistre ensuite en tant qu'"Interface" nommé "IIEHlprObj" et en tant que "Type Library" nommé "AS 0.96 Type Library". Pour cela, les entrées suivantes sont créait dans la base de registre système :
HKCR\Interface\(17A45F93-AEC8-440B-AC33-1BA9CC3192AC)
HKCR\TypeLib\(D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F)
BankAsh-A modifie également la page de démarrage d'Internet Explorer en modifiant les entrées suivantes :
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page
about:blank
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
Start Page
about:blank
BankAsh-A tente de désactiver ou terminer l'application Microsoft AntiSpyware, en supprimant (si elle existe) l'entrée suivante :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\gcasServ
et/ou en terminant les processus en relation avec Microsoft AntiSpyware:
GCASCLEANER
GCASDTSERV
GCASINSTALLHELPER
GCASNOTICE
GCASSERV
GCASSERVALERT
GCASSWUPDATER
GCIPTOHOSTQUEUE
GIANTANTISPYWAREMAIN
GIANTANTISPYWAREUPDATER
BankAsh-A essaye de bloquer les messages d'avertissement de Microsoft AntiSpyware et de supprimer les fichiers contenus dans le répertoire "C:\Program Files\Microsoft AntiSpyware".
BankAsh-A tente de d'interdire l'accès à certains site Internet en modifiant le fichier HOSTS trouvé dans le répertoire '%Windows%' ou '%SYSTEM%\drivers\etc'.
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
