Cette section destinée aux experts, expose les détails techniques de ce virus.Taille: 412160 Octet(s)
Détails techniques: Quand Bancban-CZ est exécuté, il dépose une copie du troyen dans le répertoire
%Windir%, sous le nom
SVCHOST.SCR.
Note :
%Windir% représentant le dossier Windows, généralement situé ici
C:\Windows ou là
C:\WINNT.
Bancban-CZ s'empare des informations sensibles à chaque fois que l'utilisateur infecté voudra accéder à des sites bancaires, tels que :
Banco ABN AMRO REAL
Banco ABN AMRO REAL - Portal Brasil
Banco ABN AMRO REAL - Portal Brasil
Banco ABN AMRO REAL Portal Brasil
Banco Do Brasil Logando
Banco Ita
Caixa Economica
Portal - BANCO REAL / ABN AMRO
Le trojan tente d'accéder à cette adresse :
http://www.w3.org/1999/02/22
Quand l'utilisateur infecté souhaite consulter l'un des sites web spécifiés plus haut, le cheval de Troie, affiche un formulaire factice invitant l'internaute à entrer ses informations personnelles (identifiant, mot de passe, etc...).
Le trojan envoie ensuite les données collectées vers ces adresses e-mail :
[email protected]
smtp.sao.terra.com.br
[email protected]
Pour se lancer à chaque démarrage, Bancban-CZ créait l'entrée de registre suivante :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
bancb-bk = "C:\%System%\svchost.scr"
Note : Bancban-CZ détermine l'emplacement du répertoire
%System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, c'est C:\Winnt\System32 ; sous Windows 95/98/Me, c'est C:\Windows\System et sous XP : C:\Windows\System32.