Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Le Trojan.PWS.Banker.64540 remplace le contenu des pages web

Le 6 juin 2012

Doctor Web annonce la propagation d'un programme malveillant, le Trojan.PWS.Banker.64540, permettant aux pirates d'exécuter des attaques de phishing.

Le Trojan.PWS.Banker.64540, pesant 80 Ko seulement, contient deux composants : un fichier exécutable et une bibliothèque. Ce programme utilise pour sa propagation le botnet connu Andromeda.

Suite à son lancement sur le PC infecté, le Trojan.PWS.Banker.64540 sauvegarde une copie de lui-même sous le nom de msvcrt.exe dans un dossier et sauvegarde un lien vers ce dossier dans la branche du registre relative à l’auto démarrage des applications. Ensuite, il vérifie s'il est bien installé dans l'OS, il se lance et introduit un code d'auto suppression dans le processus svchost.exe. Les informations sur les actions entreprises par le programme sont conservées dans l'historique crée par le trojan.

screen

Suite à son exécution, le trojan effectue une recherche de tous les fichiers (à l’exception de ceux du disque A) et, selon l'algorithme prévu par les pirates, code toutes les informations détectées puis les envoie sur les serveurs des pirates, les adresses de ces serveurs étant conservées dans le corps du programme malveillant.

L’objectif principal du Trojan.PWS.Banker.64540 est d’introduire un composant qui lui est propre dans Internet Explorer. Ce composant, contenant des injections web, est capable de remplacer le contenu des pages web comme visa.com, mastercard.com, americanexpress.com, discovercard.com. La signature de cette menace a été ajoutée aux bases virales Dr.Web.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg