Nom:TR/Banker.Banz.dfg
La date de la découverte:13/07/2010
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:5.408.768 Octets
Somme de contrôle MD5:4cc5e9f5b28be7c29abee34f51f78a30
Version IVDF:7.10.09.77 - mardi 13 juillet 2010

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Banker.Win32.Banz.dfg
   •  F-Secure: Trojan-Banker.Win32.Banz.dfg
   •  Eset: Win32/Spy.Banker.UDU
   •  Bitdefender: Trojan.Crypt.Delf.B


Plateformes / Systèmes d'exploitation:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il vole de l'information

 Registre – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ctmon2"="C:\Arquivos de programas\Sidebar\new.exe"
   • "Sidebr"="C:\Arquivos de programas\Sidebar\new.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "msnmsr"="C:\Arquivos de programas\Sidebar\new.exe"



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"=".exe"

– [HKCU\Software\AVG Security Toolbar]
   • "moveUnderTabs"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   Firewal+lPolicy]
   • "EnableFirewall"=dword:00000000

– [HKLM\SYSTEM\ControlSet001\Control\Partizan]
   • "HideWelcomeMessage"=dword:00000002
   • "UseSafedelete"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Control\Partizan]
   • "HideWelcomeMessage"=dword:00000002
   • "UseSafedelete"=dword:00000000



Les clés de registre suivantes sont changées:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   L'ancienne valeur:
   • "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
   • 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00
   La nouvelle valeur:
   • "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
   • 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,20,00,00,00,46,00,\
   • 43,00,4f,00,52,00,50,00,00,00,41,00,56,00,00,00,00,00
   •

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   L'ancienne valeur:
   • "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
   • 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00
   La nouvelle valeur:
   • "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
   • 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,20,00,00,00,46,00,\
   • 43,00,4f,00,52,00,50,00,00,00,41,00,56,00,00,00,00,00
   •

Description insérée par Patrick Schoenherr le mardi 13 juillet 2010
Description mise à jour par Patrick Schoenherr le mercredi 14 juillet 2010

Retour . . . .