Troj_Goldun-T
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Goldun-T injecte les fichiers "BOSKGJE.EXE" et "PINCH.EXE" dans le dossier "temp" Windows. "BOSKGJE.EXE" est aussi détecté sous le nom de Goldun-T et "PINCH.EXE" est détecté sous le nom de LdPinch-AZ.
Le fichier injecté sous le nom de "BOSKGJE.EXE" injecte le fichier "IDMAS.DLL" dans le dossier Windows aussi détecté sous le nom de Goldun-T avant d'injecter et d'exécuter le fichier "DELT.BAT" dans le dossier temp Windows afin de se supprimer, il crée une entrée dans le registre dans :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\[68363724-9abc-def0-0fed-fad682644311]
et, pour signaler la DLL injectée, il crée des entrées de registre sous l'emplacement suivant :
HKCR\CLSID\[68363724-9abc-def0-0fed-fad682644311]\
Le fichier injecté sous le nom de IDMAS.DLL surveille l'accès à www.e-gold.com et s'empare des informations concernant le compte de l'utilisateur pour les envoyer vers un script à http://65.75.191.79.
Le composant injecteur principal de Goldun-T prétend généralement faire partie d'un nouveau système de sécurité permettant de sécuriser l'accès au site Web e-gold et affiche une fausse boîte de message intitulée "E-gold security connect" avec une image e-gold et des boutons "Connect" et "Exit". Si l'on presse sur le bouton "Connect", la boîte affiche "Connecting", puis "Running", et enfin tente d'ouvrir Microsoft Internet Explorer sur la vraie page de connexion d'e-gold.
Le composant injecteur principal de Goldun-T a été vu en tant que pièce jointe de courriel avec le corps de message suivant :
Dear E-gold payment system users,
The recent cases of fraud, unauthorized withdrawal of cash from our
clients' accounts and recurred attempts of hackers to access our server
forced us to implement a new security system. The special program will
ensure safe connection of your computer to our server by means of a unique
encoded key, specially generated for each account. Only the combination of
your login, password and the key will allow you to access the system. The
program is enclosed to the message and doesn't need any installation. By
one click you will be connected to the server and the program will
generate the key. After that you will enter your account from Internet Explorer,
which is absolutely safe. You will be signed out of the program
automatically after closing the window. See the detailed operational
instruction enclosed to the program.
We have to warn you, that if you want to be the user of our system in
future, you'll have to accept our rules and to use this program. Otherwise
please call the numbers below to withdraw your funds. For the detailed
information please enter our site or use our hot line to contact us by
phone.
Our Contacts:
Phone (Worldwide) +1 321-951-1200
FAX (Worldwide) +1 321-956-0790
Best regards, E-gold.
Taille: Inconnue
Détails techniques:
Goldun-T injecte les fichiers "BOSKGJE.EXE" et "PINCH.EXE" dans le dossier "temp" Windows. "BOSKGJE.EXE" est aussi détecté sous le nom de Goldun-T et "PINCH.EXE" est détecté sous le nom de LdPinch-AZ.
Le fichier injecté sous le nom de "BOSKGJE.EXE" injecte le fichier "IDMAS.DLL" dans le dossier Windows aussi détecté sous le nom de Goldun-T avant d'injecter et d'exécuter le fichier "DELT.BAT" dans le dossier temp Windows afin de se supprimer, il crée une entrée dans le registre dans :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\[68363724-9abc-def0-0fed-fad682644311]
et, pour signaler la DLL injectée, il crée des entrées de registre sous l'emplacement suivant :
HKCR\CLSID\[68363724-9abc-def0-0fed-fad682644311]\
Le fichier injecté sous le nom de IDMAS.DLL surveille l'accès à www.e-gold.com et s'empare des informations concernant le compte de l'utilisateur pour les envoyer vers un script à http://65.75.191.79.
Le composant injecteur principal de Goldun-T prétend généralement faire partie d'un nouveau système de sécurité permettant de sécuriser l'accès au site Web e-gold et affiche une fausse boîte de message intitulée "E-gold security connect" avec une image e-gold et des boutons "Connect" et "Exit". Si l'on presse sur le bouton "Connect", la boîte affiche "Connecting", puis "Running", et enfin tente d'ouvrir Microsoft Internet Explorer sur la vraie page de connexion d'e-gold.
Le composant injecteur principal de Goldun-T a été vu en tant que pièce jointe de courriel avec le corps de message suivant :
Dear E-gold payment system users,
The recent cases of fraud, unauthorized withdrawal of cash from our
clients' accounts and recurred attempts of hackers to access our server
forced us to implement a new security system. The special program will
ensure safe connection of your computer to our server by means of a unique
encoded key, specially generated for each account. Only the combination of
your login, password and the key will allow you to access the system. The
program is enclosed to the message and doesn't need any installation. By
one click you will be connected to the server and the program will
generate the key. After that you will enter your account from Internet Explorer,
which is absolutely safe. You will be signed out of the program
automatically after closing the window. See the detailed operational
instruction enclosed to the program.
We have to warn you, that if you want to be the user of our system in
future, you'll have to accept our rules and to use this program. Otherwise
please call the numbers below to withdraw your funds. For the detailed
information please enter our site or use our hot line to contact us by
phone.
Our Contacts:
Phone (Worldwide) +1 321-951-1200
FAX (Worldwide) +1 321-956-0790
Best regards, E-gold.
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
