Troj_Jginko-A
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 65536 Octet(s)
Détails techniques:
Quand il est exécuté, Jginko-A se copie sous le nom C:\system.exe et modifie le registre afin d'être lancé à chaque démarrage de Windows :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\system.exe = "C:\system.exe"
Le cheval de Troie crée également un mutex nommé "kidou" pour empêcher l'exécution simultanée de plusieurs versions du trojan sur la machine infectée.
Jginko-A enregistre les touches tappées au clavier, lorsque l'utilisateur visite l'un de ces sites :
direct3.smbc.co.jp
direct.smbc.co.jp
www.japannetbank.co.jp
fes.ebank.co.jp
www-ihs.yu-cho.japanpost.jp
www.ufjbank.co.jp
sso.ufjbank.co.jp
direct.btm.co.jp
direct02.btm.co.jp
web.ib.mizuhobank.co.jp
web1.ib.mizuhobank.co.jp
web2.ib.mizuhobank.co.jp
web3.ib.mizuhobank.co.jp
web4.ib.mizuhobank.co.jp
web5.ib.mizuhobank.co.jp
direct.resonabank.co.jp
www.resonabank.anser.or.jp
directa03.shinseibank.co.jp
ib.iy-bank.co.jp
www.shinkinbanking.com
houjin.shinkinbanking.com
www.shinkin-webfb-hokkaido.jp
www.shinkin-webfb.jp
www2.paweb.anser.or.jp
www.caweb.anser.or.jp
direct.hokugin.co.jp
www.web-fb.com
net.gunmabank.co.jp
www.105bank.com
okbnetplaza.com
www.suitebank.finemax.net
www2.ib-center.gr.jp
www4.cyber-biz.ne.jp
www4a.cyber-biz.ne.jp
www7.cyber-biz.ne.jp
www8b.cyber-biz.ne.jp
www9a.cyber-biz.ne.jp
www9b.cyber-biz.ne.jp
www9c.cyber-biz.ne.jp
www9d.cyber-biz.ne.jp
www10a.cyber-biz.ne.jp
www10b.cyber-biz.ne.jp
www10c.cyber-biz.ne.jp
www10d.cyber-biz.ne.jp
www11a.cyber-biz.ne.jp
www11b.cyber-biz.ne.jp
www12a.cyber-biz.ne.jp
www12b.cyber-biz.ne.jp
www12c.cyber-biz.ne.jp
www12d.cyber-biz.ne.jp
www13a.cyber-biz.ne.jp
www13c.cyber-biz.ne.jp
www13d.cyber-biz.ne.jp
www14a.cyber-biz.ne.jp
https://www.resonabank.anser.or.jp/cgi/Sta.cgi?CCT0080=0010
https://direct02.btm.co.jp/cgi-bin/gx.cgi/AppLogic+JP.co.btm.ib.bank.lgin.AL_lginIndicateFrameSet
https://fes.ebank.co.jp/FES/ebank/EbankServlet?COMMAND=LOGIN&&CurrentPageID=START
https://www.japannetbank.co.jp/login.html
Ces pages sont propres à des banques Japonnaises.
Jginko-A vole alors les informations de type nom d'utilisateur, mots de passe, numéro de compte, etc...
Les données ainsi récoltées sont rendues disponibles ici :
http://park23.wakwak.com/~version1/cgi-bin/data.pl
http://park23.wakwak.com/~version1/cgi-bin/rireki.pl
Taille: 65536 Octet(s)
Détails techniques:
Quand il est exécuté, Jginko-A se copie sous le nom C:\system.exe et modifie le registre afin d'être lancé à chaque démarrage de Windows :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\system.exe = "C:\system.exe"
Le cheval de Troie crée également un mutex nommé "kidou" pour empêcher l'exécution simultanée de plusieurs versions du trojan sur la machine infectée.
Jginko-A enregistre les touches tappées au clavier, lorsque l'utilisateur visite l'un de ces sites :
direct3.smbc.co.jp
direct.smbc.co.jp
www.japannetbank.co.jp
fes.ebank.co.jp
www-ihs.yu-cho.japanpost.jp
www.ufjbank.co.jp
sso.ufjbank.co.jp
direct.btm.co.jp
direct02.btm.co.jp
web.ib.mizuhobank.co.jp
web1.ib.mizuhobank.co.jp
web2.ib.mizuhobank.co.jp
web3.ib.mizuhobank.co.jp
web4.ib.mizuhobank.co.jp
web5.ib.mizuhobank.co.jp
direct.resonabank.co.jp
www.resonabank.anser.or.jp
directa03.shinseibank.co.jp
ib.iy-bank.co.jp
www.shinkinbanking.com
houjin.shinkinbanking.com
www.shinkin-webfb-hokkaido.jp
www.shinkin-webfb.jp
www2.paweb.anser.or.jp
www.caweb.anser.or.jp
direct.hokugin.co.jp
www.web-fb.com
net.gunmabank.co.jp
www.105bank.com
okbnetplaza.com
www.suitebank.finemax.net
www2.ib-center.gr.jp
www4.cyber-biz.ne.jp
www4a.cyber-biz.ne.jp
www7.cyber-biz.ne.jp
www8b.cyber-biz.ne.jp
www9a.cyber-biz.ne.jp
www9b.cyber-biz.ne.jp
www9c.cyber-biz.ne.jp
www9d.cyber-biz.ne.jp
www10a.cyber-biz.ne.jp
www10b.cyber-biz.ne.jp
www10c.cyber-biz.ne.jp
www10d.cyber-biz.ne.jp
www11a.cyber-biz.ne.jp
www11b.cyber-biz.ne.jp
www12a.cyber-biz.ne.jp
www12b.cyber-biz.ne.jp
www12c.cyber-biz.ne.jp
www12d.cyber-biz.ne.jp
www13a.cyber-biz.ne.jp
www13c.cyber-biz.ne.jp
www13d.cyber-biz.ne.jp
www14a.cyber-biz.ne.jp
https://www.resonabank.anser.or.jp/cgi/Sta.cgi?CCT0080=0010
https://direct02.btm.co.jp/cgi-bin/gx.cgi/AppLogic+JP.co.btm.ib.bank.lgin.AL_lginIndicateFrameSet
https://fes.ebank.co.jp/FES/ebank/EbankServlet?COMMAND=LOGIN&&CurrentPageID=START
https://www.japannetbank.co.jp/login.html
Ces pages sont propres à des banques Japonnaises.
Jginko-A vole alors les informations de type nom d'utilisateur, mots de passe, numéro de compte, etc...
Les données ainsi récoltées sont rendues disponibles ici :
http://park23.wakwak.com/~version1/cgi-bin/data.pl
http://park23.wakwak.com/~version1/cgi-bin/rireki.pl
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
