© Virusalert schaal

  • Innovatie: 9
  • Besturing: 35
  • Logistiek: 10
  • Schade: 30
  • Schaal: 21
  • Aanduiding: lastig

PWSteal.Bankash.G

  • Type trojan
  • Besturingssysteem Microsoft Windows
  • Risico laag
  • Bron (c) 2006, VirusAlert
  • Preventie De trojan is in staat om vertrouwelijke informatie te stelen zoals gebruikersnaam, paswoord, credit kaart details, e-mailadressen en dergelijke. Kwetsbare besturingssystemen zijn: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP. De Trojan verlaagt het niveau van beveiliging.
  • Verwijderinstructie Zodra de trojan is geactiveerd, gebeurt het volgende: 1. De trojan laat de volgende bestand achter: %System%\ash2.dll Toelichting locatie C:\Windows of C:\Windows\SystemHiermee wordt de standaard installatie van Windows of Windows\Sytem mee bedoeld. Dit is afhankelijk van het type en de versie: C:\Windows bij (Windows 95/98/Me/XP) of C:\Winnt bij (Windows NT/2000) C:\Windows\System bij Win95/98/Me & C:\Windows\System32 bij Win2000, XP en NT) 2. Creëert de volgende bestanden: • %Windir%\log\[RANDOM].apps • %Windir%\log\[RANDOM].pass • %Windir%\log\[RANDOM].mail • %Windir%\log\[RANDOM].post • %Windir%\log\[RANDOM].crds • %Windir%\log\[RANDOM].form Opmerking: %Windir% is een variabele die verwijst naar de map waar windows geïnstalleerd staat. Ontbreekt deze, dan is dit C:\Windows of C:\Winnt. 3. Creëert de volgende subsleutel in het register:| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56B60F70-057F-4150-98B1-29572DF422F0} zodat het bestand .dll file wordt uitgevoerd iedere keer wanneer Windows Explorer wordt opgestart. 4. Creëert volgende register subsleutels: HKEY_CLASSES_ROOT\CLSID\{21E5619E-0F99-4096-BAF2-4DA3F26F691A} HKEY_CLASSES_ROOT\CLSID\{56B60F70-057F-4150-98B1-29572DF422F0} HKEY_CLASSES_ROOT\Interface\{35A22488-DCFE-459C-A811-CFC81687B404} HKEY_CLASSES_ROOT\TypeLib\{DF7B63CA-0287-4FEC-AD99-598519A78E57} om het.dll bestand te registreren. 5. Creëert de volgende register sleutels: HKEY_CLASSES_ROOT\iehelper.OnSubmitHandler HKEY_CLASSES_ROOT\iehelper.OnSubmitHandler.1 HKEY_CLASSES_ROOT\SpyAnti.SpyAnti HKEY_CLASSES_ROOT\SpyAnti.SpyAnti.1 6. Houdt alle berichten van de firewall applicaties in de gaten die de volgende teksten bevatten: • Warning: some components changed • Warning: Components Have Changed • Are you sure you want to navigate away from this page? • Static • Microsoft Internet Explorer • Create rule for %s 7. De trojan probeert zich in de pop-up alerts te verstoppen en creëert direct regels om toestemming te krijgen tot de computer. 8. Vervolgens zoekt de trojan e-mailadressen in bestanden die de volgende extensie hebben: • .xml • .xls • .eml • .vbs • .rtf • .uin • .doc • .oft • .msg • .dbx • .adb • .wab • .tbb • .asp • .ph* • .pl* • .tx* • .*ht* 9. Bewaart de verzamelde e-mailadressen in %Windir%\log\[random].mail. 10. Collecteert alle lokaal verzamelde wachtwoorden en bewaart deze in %Windir%\log\[random].pass. 11. Collecteert geïnstalleerde softwarelijsten en bewaart deze in %Windir%\[random].apps. 12. Bewaart de opsomming van bezochte Internet Explorer Web pagina’s in %Windir%\[random].form. 13. Bewaart opgevangen informatie over credit kaarten in %Windir%\[random].crds. 14. Slaat de aanvragen van HTTP POST op in %Windir%\[random].post als de URL een van de volgende strings bevat: • .ac.at • .ac.nz • .ac.uk • .edu • .o2.co.uk • .sok • .ust.hk • 012.net • acadiau.ca • adaptec.com • adultfriendfinder.com • advisor.com • ains.com.au • aircanada.ca • a-net.com • apple.com • ariba.com • authorize.net • bearshare.com • betbanking.com • bigpond.net.au • billerweb.com • bnpparibas.net • c1hrapps.com • cablebg.net • campoints.net • canon-europe.com • carleton.ca • cic.gc.ca • comcast.net • cometsystems.com • customersvc.com • datasvit.net • delawarenorth.com • delias.com • dell • deluxepass.com • directnic.com • directsex.com • douglas.bc.ca • earthport.com • ecompanystore.com • elance.com • element5.com • elsevier • emetrix.com • e-registernow.com • esdlife.com • europeonline.com • eutelsat.net • ezpeer.com • farlep.net • flextronics.com • fredericks.com • freedom.net • game • gevalia.com • gigaisp.net • go-fia.com • guidehome.com • hilton.com • hku.hk • hkuspace.org • hostdozy.com • hotbar.com • hp.com • ibm.com • icq.com • idx.com.au • ihost.com • iinet.net.au • imrworldwide.com • indigosp.com • infusion-studios.com • ingrammicro.com • inlandrevenue.gov.uk • intel.com • intuitcanada.com • iprimus.com.au • kent.net • konetic.org • kundenserver.de • lanck.net • liveperson.net • lkw-walter.com • loginnet.passport • look.ca • macau.ctm.net • maximonline.com • mcafee.com • mcgill.ca • mcmaster.ca • medibank.com.au • mgm-mirage.com • microsoft.com • monster.com • mouse2mobile.com • music • mysylvan.com • nacelink.com • netbilling.com • netfirms.com • netspeed.com.au • nike.com.hk • northeast.on.ca • novuslink.net • nwa.com • nzqa.govt.nz • o2online.de • oberon-media.com • onlineaccess.net • optusnet.com.au • opusit.com.sg • orcon.net • ordering.co.uk • oztralia.com • playstation.com • preschoicefinancial.com • prudential.com.hk • puma.com • queensu.ca • quickbooks.com • recruitsoft.com • register.com • reuters.com • rogers.com • safeform.com • safesite.com • salesforce.com • sammikk.com • samsunggsbn.com • sap-ag.de • sbc.com • s-central.com.au • sciamdigital.com • scicollege.org.sg • searchfit.org • seatbooker.net • sebra.com • securecart.net • secureordering.com • secureserver.net • securewebexchange.com • securitymetrics.com • selfmgmt.com • senecac.on.ca • sephora.com • serviticket.com • sfa.prudential.com.sg • sfgov.org • shaw.ca • sheridanc.on.ca • shkcorpws5.shkp.com • shopadmin.daum.net • shoppersoptimum.ca • shopundco.com • shutterfly.com • sierraclub.org • signup.sprint.ca • silicon-power.com • simplyhotels.com • sims.sfu.ca • singaporeair.com • singnet.com.sg • site-secure.com • sms.ac • snapfish.com • soccer.com • solo3.nordea.fi • sony • soundclick.com • sparkart.com • sparknotes.com • speedera.net • spiritair.com • sportingbet.com • sportodds.com • sqnet.com.sg • srp.org.sg • ssdcl.com.sg • stanfordalumni.org • starbiz.net.sg • starhubshop.com.sg • streamload.com • supergo.com • swamp.lan • sympatico.ca • tbihosting.com • tdcwww.net • techdata.com • telpacific.com.au • telstra.com • telusmobility.com • tepore.com • theaa.com • there.com • thewheelconnection.com • three.com.hk • ti.com • ticketmaster.com • tickle.com • tirerack.com • tm.net.my • tmi-wwa.com • t-mobile.co.uk • t-mobile.com • towerhobbies.com • travel.com.au • travel.priceline.com • travelclub.swiss.com • travelcommunications.co.uk • trekblue.com • trivita.com • trust1.com • trustinternational.com • tsn.cc • ubc.ca • ubi.com • ucas.co.uk • ultrastar.com • unb.ca • united.intranet.ual.com • unixcore.com • uoguelph.ca • uottawa.ca • upjs.sk • ups.com • usafis.org • uscden.net • uscitizenship.info • uwaterloo.ca • uwindsor.ca • va-bank.com • vandyke.com • vasa.slsp.sk • veloz.com • victoriassecret.com • videotron.com • virginblue.com.au • virginmobileusa.com • vodafone • vodafone.co.uk • vpost.com.sg • vutbr.cz • w2express.com • walgreens.com • watchguard.com • webassign.net • webeweb.net • webtrendslive.com • webzdarma.cz • western-inventory.com • willhill.com • wn.com.au • worldgaming.net • worldwinner.com • worth1000.com • wrem.sis.yorku.ca • xs4all.nl • xtra.co.nz • yagma.com • ych.com • yes.com.hk • yesasia.com • yimg.com • yorku.ca • yourastrologysite.com • ytv.com • zoovy.com • zwallet.com 15. Stuurt de bestanden naar [http://]pheasant-farm.com/[RANDOM]. 16. Periodiek probeert het zichzelf te updaten door de volgende bestanden via FTP of http te downloaden: • %UserProfile%\Local Settings\Temp\tmp24352.exe • %UserProfile%\Local Settings\Temp\q4h28c.exe Opmerking: %UserProfile% is een variabele die verwijst naar de map van het profiel van de huidige gebruiker. Ontbreekt deze, dan is dit C:\Documents and Settings\[CURRENT USER] (Windows NT/2000/XP).

PWSteal.Bankash.G is een Trojaans paard dat probeert vertrouwelijke gegevens te stelen. Verlaagd beveiligingsniveau van de computer doordat de trojan bij besmetting de firewall aanpast. Er is gerapporteerd dat de trojan bij het downloaden zich verbergt in misvormde wmf.bestanden. Microsoft Windows gebruikt WFM voor het grafisch berekenen van het WMF formaten. Deze kwetsbaarheid is beschreven in BID 16074.