Troj_Bancsde-E

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Bancsde-E se compose d'un fichier injecteur, d'un exécutable principal et d'un composant dll.

Lorsqu'il est exécuté, l'injecteur qui arrive sous le nom de fichier "xx.exe", s'injecte dans le dossier Windows et exécute l'exécutable principal sous le nom de fichier "xxsrsrv.exe" qui extrait le composant dll sous le nom de fichier "iexml.dll".

Pour pouvoir s'exécuter automatiquement au démarrage de Windows, Bancsde-E paramètre l'entrée de registre suivante :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
xxsrSrv32
"xxsrsrv.exe"

où xx correspond à deux lettres aléatoires.

Lorsque Bancsde-E est activé, l'entrée de registre est rafraîchie à intervalles réguliers afin d'empêcher toute suppression.

Bancsde-E crée les entrées de registre suivantes :

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
WarnOnPostRedirect
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
WarnOnZoneCrossing
0

Bancsde-E restreint aussi la sécurité du système en paramétrant les entrées de registre suivantes :

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
1609
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
1609
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
1609
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
1609
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
1609
0

L'exécutable principal du cheval de Troie tente de s'emparer de données contenues dans les pages Web de sites de banques en ligne et affiche de fausses pages de connexion dans le but de s'emparer des informations de comptes bancaires.

Bancsde-E injecte le composant dll dans l'espace du processus de iexplore.exe. Cette DLL est utilisée pour relayer les informations volées vers un script PHP distant.