Worm.Win32_Kassbot-C
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Lorsqu'il est exécuté, le ver se copie dans le répertoire %System% sous le nom de "spools.exe".
Pour se lancer automatiquement à chaque ouverture de session, Kassbot-C paramètre dans le registre l'entrée suivante :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Spools Service Controller
%SYSTEM%\spools.exe
Kassbot-C envoie un courriel à une adresse électronique prédéfinie contenant des informations système provenant de l'ordinateur infecté.
Kassbot-C surveille l'accès Internet de l'utilisateur. Lorsque certains sites Internet bancaires et financiers font l'objet d'un accès, le ver redirige l'utilisateur vers un site Web russe avec des pages de connexion fausses ou envoie par courriel les détails volés à une adresse électronique russe. Les sites bancaires sont les suivants :
LloydsTSB
NatWest
HSBC
Barclays
Halifax
Citibank
NetBank
EzyBank
Bank One Australia
Kassbot-C tente de se propager en exploitant les failles suivantes :
- LSASS (MS04-011 ).
- DCOM (MS04-012 ).
Kassbot-C se connecte à un serveur IRC et fournit un accès par porte dérobée à l'ordinateur infecté.
Kassbot-C injecte et charge un fichier DLL nommé "XEE32.DLL". Kassbot-C injecte un fichier non malveillant nommé "xbccd.log" dans le répertoire %System%. Ce fichier peut être supprimé.
Kassbot-C ajoute les lignes suivantes du fichier HOSTS afin de bloquer l'accès aux sites Web de type antivirus :
17.145.117.11 d-ru-1f.kaspersky-labs.com
17.145.117.11 d-ru-1h.kaspersky-labs.com
17.145.117.11 d-ru-2f.kaspersky-labs.com
17.145.117.11 d-ru-2h.kaspersky-labs.com
17.145.117.11 d-eu-2f.kaspersky-labs.com
17.145.117.11 d-eu-2h.kaspersky-labs.com
17.145.117.11 d-eu-1f.kaspersky-labs.com
17.145.117.11 d-eu-1h.kaspersky-labs.com
17.145.117.11 d-us-1f.kaspersky-labs.com
17.145.117.11 d-us-1h.kaspersky-labs.com
17.145.117.11 downloads1.kaspersky.ru
17.145.117.11 downloads2.kaspersky.ru
17.145.117.11 downloads3.kaspersky.ru
17.145.117.11 downloads4.kaspersky.ru
17.145.117.11 downloads5.kaspersky.ru
17.145.117.11 www.kaspersky.ru
17.145.117.11 kaspersky.ru
17.145.117.11 kaspersky-labs.com
17.145.117.11 www.kaspersky-labs.com
Taille: Inconnue
Détails techniques:
Lorsqu'il est exécuté, le ver se copie dans le répertoire %System% sous le nom de "spools.exe".
Pour se lancer automatiquement à chaque ouverture de session, Kassbot-C paramètre dans le registre l'entrée suivante :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Spools Service Controller
%SYSTEM%\spools.exe
Kassbot-C envoie un courriel à une adresse électronique prédéfinie contenant des informations système provenant de l'ordinateur infecté.
Kassbot-C surveille l'accès Internet de l'utilisateur. Lorsque certains sites Internet bancaires et financiers font l'objet d'un accès, le ver redirige l'utilisateur vers un site Web russe avec des pages de connexion fausses ou envoie par courriel les détails volés à une adresse électronique russe. Les sites bancaires sont les suivants :
LloydsTSB
NatWest
HSBC
Barclays
Halifax
Citibank
NetBank
EzyBank
Bank One Australia
Kassbot-C tente de se propager en exploitant les failles suivantes :
- LSASS (MS04-011 ).
- DCOM (MS04-012 ).
Kassbot-C se connecte à un serveur IRC et fournit un accès par porte dérobée à l'ordinateur infecté.
Kassbot-C injecte et charge un fichier DLL nommé "XEE32.DLL". Kassbot-C injecte un fichier non malveillant nommé "xbccd.log" dans le répertoire %System%. Ce fichier peut être supprimé.
Kassbot-C ajoute les lignes suivantes du fichier HOSTS afin de bloquer l'accès aux sites Web de type antivirus :
17.145.117.11 d-ru-1f.kaspersky-labs.com
17.145.117.11 d-ru-1h.kaspersky-labs.com
17.145.117.11 d-ru-2f.kaspersky-labs.com
17.145.117.11 d-ru-2h.kaspersky-labs.com
17.145.117.11 d-eu-2f.kaspersky-labs.com
17.145.117.11 d-eu-2h.kaspersky-labs.com
17.145.117.11 d-eu-1f.kaspersky-labs.com
17.145.117.11 d-eu-1h.kaspersky-labs.com
17.145.117.11 d-us-1f.kaspersky-labs.com
17.145.117.11 d-us-1h.kaspersky-labs.com
17.145.117.11 downloads1.kaspersky.ru
17.145.117.11 downloads2.kaspersky.ru
17.145.117.11 downloads3.kaspersky.ru
17.145.117.11 downloads4.kaspersky.ru
17.145.117.11 downloads5.kaspersky.ru
17.145.117.11 www.kaspersky.ru
17.145.117.11 kaspersky.ru
17.145.117.11 kaspersky-labs.com
17.145.117.11 www.kaspersky-labs.com
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
