Troj_Bancban-CZ

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 412160 Octet(s)

Détails techniques:

Quand Bancban-CZ est exécuté, il dépose une copie du troyen dans le répertoire %Windir%, sous le nom SVCHOST.SCR.

Note : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.

Bancban-CZ s'empare des informations sensibles à chaque fois que l'utilisateur infecté voudra accéder à des sites bancaires, tels que :

Banco ABN AMRO REAL
Banco ABN AMRO REAL - Portal Brasil
Banco ABN AMRO REAL - Portal Brasil
Banco ABN AMRO REAL Portal Brasil
Banco Do Brasil Logando
Banco Ita
Caixa Economica
Portal - BANCO REAL / ABN AMRO


Le trojan tente d'accéder à cette adresse :

http://www.w3.org/1999/02/22

Quand l'utilisateur infecté souhaite consulter l'un des sites web spécifiés plus haut, le cheval de Troie, affiche un formulaire factice invitant l'internaute à entrer ses informations personnelles (identifiant, mot de passe, etc...).

Le trojan envoie ensuite les données collectées vers ces adresses e-mail :

[email protected]
smtp.sao.terra.com.br
[email protected]


Pour se lancer à chaque démarrage, Bancban-CZ créait l'entrée de registre suivante :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
bancb-bk = "C:\%System%\svchost.scr"


Note : Bancban-CZ détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, c'est C:\Winnt\System32 ; sous Windows 95/98/Me, c'est C:\Windows\System et sous XP : C:\Windows\System32.




http://www.newdimension-fr.net/