VirusAlert.nl logo
  23 juli 2017 Blog | Virusscanner vergelijken | nieuwsbrieven | alerts | links | faqs | partners | adverteren | contact
Naam (type):
PWSteal.Bankash.G (Trojan)
Besturing:
Microsoft Windows
Datum:
4 januari 2006
Risico:
Laag
Bron:
(c) 2006, VirusAlert
Eigenschappen:
PWSteal.Bankash.G is een Trojaans paard dat probeert vertrouwelijke gegevens te stelen. Verlaagd beveiligingsniveau van de computer doordat de trojan bij besmetting de firewall aanpast. Er is gerapporteerd dat de trojan bij het downloaden zich verbergt in misvormde wmf.bestanden. Microsoft Windows gebruikt WFM voor het grafisch berekenen van het WMF formaten. Deze kwetsbaarheid is beschreven in BID 16074.
© VirusAlert schaal

Innovatie:  9
Besturing:  35
Logistiek:  10
Schade:  30

Schaal:  21/100

Aanduiding: LASTIG



Gratis Nieuwsbrief!

Herkenning van besmetting:
De trojan is in staat om vertrouwelijke informatie te stelen zoals gebruikersnaam, paswoord, credit kaart details, e-mailadressen en dergelijke. Kwetsbare besturingssystemen zijn: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP. De Trojan verlaagt het niveau van beveiliging.

Verwijder instructies:
Zodra de trojan is geactiveerd, gebeurt het volgende:

1. De trojan laat de volgende bestand achter:

%System%\ash2.dll

Toelichting locatie C:\Windows of C:\Windows\SystemHiermee wordt de standaard installatie van Windows of Windows\Sytem mee bedoeld. Dit is afhankelijk van het type en de versie: C:\Windows bij (Windows 95/98/Me/XP) of C:\Winnt bij (Windows NT/2000) C:\Windows\System bij Win95/98/Me & C:\Windows\System32 bij Win2000, XP en NT)

2. Creëert de volgende bestanden:
• %Windir%\log\[RANDOM].apps
• %Windir%\log\[RANDOM].pass
• %Windir%\log\[RANDOM].mail
• %Windir%\log\[RANDOM].post
• %Windir%\log\[RANDOM].crds
• %Windir%\log\[RANDOM].form

Opmerking: %Windir% is een variabele die verwijst naar de map waar windows geïnstalleerd staat. Ontbreekt deze, dan is dit C:\Windows of C:\Winnt.

3. Creëert de volgende subsleutel in het register:|

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56B60F70-057F-4150-98B1-29572DF422F0}

zodat het bestand .dll file wordt uitgevoerd iedere keer wanneer Windows Explorer wordt opgestart.

4. Creëert volgende register subsleutels:

HKEY_CLASSES_ROOT\CLSID\{21E5619E-0F99-4096-BAF2-4DA3F26F691A}
HKEY_CLASSES_ROOT\CLSID\{56B60F70-057F-4150-98B1-29572DF422F0}
HKEY_CLASSES_ROOT\Interface\{35A22488-DCFE-459C-A811-CFC81687B404}
HKEY_CLASSES_ROOT\TypeLib\{DF7B63CA-0287-4FEC-AD99-598519A78E57}

om het.dll bestand te registreren.
5. Creëert de volgende register sleutels:

HKEY_CLASSES_ROOT\iehelper.OnSubmitHandler
HKEY_CLASSES_ROOT\iehelper.OnSubmitHandler.1
HKEY_CLASSES_ROOT\SpyAnti.SpyAnti
HKEY_CLASSES_ROOT\SpyAnti.SpyAnti.1

6. Houdt alle berichten van de firewall applicaties in de gaten die de volgende teksten bevatten:

• Warning: some components changed
• Warning: Components Have Changed
• Are you sure you want to navigate away from this page?
• Static
• Microsoft Internet Explorer
• Create rule for %s

7. De trojan probeert zich in de pop-up alerts te verstoppen en creëert direct regels om toestemming te krijgen tot de computer.

8. Vervolgens zoekt de trojan e-mailadressen in bestanden die de volgende extensie hebben:

• .xml
• .xls
• .eml
• .vbs
• .rtf
• .uin
• .doc
• .oft
• .msg
• .dbx
• .adb
• .wab
• .tbb
• .asp
• .ph*
• .pl*
• .tx*
• .*ht*

9. Bewaart de verzamelde e-mailadressen in %Windir%\log\[random].mail.

10. Collecteert alle lokaal verzamelde wachtwoorden en bewaart deze in %Windir%\log\[random].pass.

11. Collecteert geïnstalleerde softwarelijsten en bewaart deze in %Windir%\[random].apps.

12. Bewaart de opsomming van bezochte Internet Explorer Web pagina’s in %Windir%\[random].form.

13. Bewaart opgevangen informatie over credit kaarten in %Windir%\[random].crds.

14. Slaat de aanvragen van HTTP POST op in %Windir%\[random].post als de URL een van de volgende strings bevat:

• .ac.at
• .ac.nz
• .ac.uk
• .edu
• .o2.co.uk
• .sok
• .ust.hk
• 012.net
• acadiau.ca
• adaptec.com
• adultfriendfinder.com
• advisor.com
• ains.com.au
• aircanada.ca
• a-net.com
• apple.com
• ariba.com
• authorize.net
• bearshare.com
• betbanking.com
• bigpond.net.au
• billerweb.com
• bnpparibas.net
• c1hrapps.com
• cablebg.net
• campoints.net
• canon-europe.com
• carleton.ca
• cic.gc.ca
• comcast.net
• cometsystems.com
• customersvc.com
• datasvit.net
• delawarenorth.com
• delias.com
• dell
• deluxepass.com
• directnic.com
• directsex.com
• douglas.bc.ca
• earthport.com
• ecompanystore.com
• elance.com
• element5.com
• elsevier
• emetrix.com
• e-registernow.com
• esdlife.com
• europeonline.com
• eutelsat.net
• ezpeer.com
• farlep.net
• flextronics.com
• fredericks.com
• freedom.net
• game
• gevalia.com
• gigaisp.net
• go-fia.com
• guidehome.com
• hilton.com
• hku.hk
• hkuspace.org
• hostdozy.com
• hotbar.com
• hp.com
• ibm.com
• icq.com
• idx.com.au
• ihost.com
• iinet.net.au
• imrworldwide.com
• indigosp.com
• infusion-studios.com
• ingrammicro.com
• inlandrevenue.gov.uk
• intel.com
• intuitcanada.com
• iprimus.com.au
• kent.net
• konetic.org
• kundenserver.de
• lanck.net
• liveperson.net
• lkw-walter.com
• loginnet.passport
• look.ca
• macau.ctm.net
• maximonline.com
• mcafee.com
• mcgill.ca
• mcmaster.ca
• medibank.com.au
• mgm-mirage.com
• microsoft.com
• monster.com
• mouse2mobile.com
• music
• mysylvan.com
• nacelink.com
• netbilling.com
• netfirms.com
• netspeed.com.au
• nike.com.hk
• northeast.on.ca
• novuslink.net
• nwa.com
• nzqa.govt.nz
• o2online.de
• oberon-media.com
• onlineaccess.net
• optusnet.com.au
• opusit.com.sg
• orcon.net
• ordering.co.uk
• oztralia.com
• playstation.com
• preschoicefinancial.com
• prudential.com.hk
• puma.com
• queensu.ca
• quickbooks.com
• recruitsoft.com
• register.com
• reuters.com
• rogers.com
• safeform.com
• safesite.com
• salesforce.com
• sammikk.com
• samsunggsbn.com
• sap-ag.de
• sbc.com
• s-central.com.au
• sciamdigital.com
• scicollege.org.sg
• searchfit.org
• seatbooker.net
• sebra.com
• securecart.net
• secureordering.com
• secureserver.net
• securewebexchange.com
• securitymetrics.com
• selfmgmt.com
• senecac.on.ca
• sephora.com
• serviticket.com
• sfa.prudential.com.sg
• sfgov.org
• shaw.ca
• sheridanc.on.ca
• shkcorpws5.shkp.com
• shopadmin.daum.net
• shoppersoptimum.ca
• shopundco.com
• shutterfly.com
• sierraclub.org
• signup.sprint.ca
• silicon-power.com
• simplyhotels.com
• sims.sfu.ca
• singaporeair.com
• singnet.com.sg
• site-secure.com
• sms.ac
• snapfish.com
• soccer.com
• solo3.nordea.fi
• sony
• soundclick.com
• sparkart.com
• sparknotes.com
• speedera.net
• spiritair.com
• sportingbet.com
• sportodds.com
• sqnet.com.sg
• srp.org.sg
• ssdcl.com.sg
• stanfordalumni.org
• starbiz.net.sg
• starhubshop.com.sg
• streamload.com
• supergo.com
• swamp.lan
• sympatico.ca
• tbihosting.com
• tdcwww.net
• techdata.com
• telpacific.com.au
• telstra.com
• telusmobility.com
• tepore.com
• theaa.com
• there.com
• thewheelconnection.com
• three.com.hk
• ti.com
• ticketmaster.com
• tickle.com
• tirerack.com
• tm.net.my
• tmi-wwa.com
• t-mobile.co.uk
• t-mobile.com
• towerhobbies.com
• travel.com.au
• travel.priceline.com
• travelclub.swiss.com
• travelcommunications.co.uk
• trekblue.com
• trivita.com
• trust1.com
• trustinternational.com
• tsn.cc
• ubc.ca
• ubi.com
• ucas.co.uk
• ultrastar.com
• unb.ca
• united.intranet.ual.com
• unixcore.com
• uoguelph.ca
• uottawa.ca
• upjs.sk
• ups.com
• usafis.org
• uscden.net
• uscitizenship.info
• uwaterloo.ca
• uwindsor.ca
• va-bank.com
• vandyke.com
• vasa.slsp.sk
• veloz.com
• victoriassecret.com
• videotron.com
• virginblue.com.au
• virginmobileusa.com
• vodafone
• vodafone.co.uk
• vpost.com.sg
• vutbr.cz
• w2express.com
• walgreens.com
• watchguard.com
• webassign.net
• webeweb.net
• webtrendslive.com
• webzdarma.cz
• western-inventory.com
• willhill.com
• wn.com.au
• worldgaming.net
• worldwinner.com
• worth1000.com
• wrem.sis.yorku.ca
• xs4all.nl
• xtra.co.nz
• yagma.com
• ych.com
• yes.com.hk
• yesasia.com
• yimg.com
• yorku.ca
• yourastrologysite.com
• ytv.com
• zoovy.com
• zwallet.com

15. Stuurt de bestanden naar [http://]pheasant-farm.com/[RANDOM].

16. Periodiek probeert het zichzelf te updaten door de volgende bestanden via FTP of http te downloaden:

• %UserProfile%\Local Settings\Temp\tmp24352.exe
• %UserProfile%\Local Settings\Temp\q4h28c.exe

Opmerking: %UserProfile% is een variabele die verwijst naar de map van het profiel van de huidige gebruiker. Ontbreekt deze, dan is dit C:\Documents and Settings\[CURRENT USER] (Windows NT/2000/XP).

Link:
Advertentie:

Veilige kortingscodes

Op KortingscodeLab.nl tref je de volgende kortingen en aanbiedingen:

Wilt u ook VirusAlert.nl steunen met een advertentie? Dat kan hier.




Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging.


© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS