W32.Kassbot.A

1. Se copie lui-même comme %System%\spools.exe.
   
   Remarque : % System% est une variable qui fait référence au dossier System. Par défaut, il s'agit de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).
   
   
2. Il dépose les fichiers suivants :
   
   
   • %System%\xee32.dll - détecté comme Hacktool
   • %System%\xbccd.log
     
     
3. Ajoute la valeur :
   
   "Spools Service Controller" = "%System%\spools.exe"
   
   à la sous-clé de registre :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   de sorte que le risque s'exécute à chaque démarrage de Windows.
   
   
4. Surveille les connexions Internet pour identifier l'accès aux sites Web financiers avec les URL suivantes :
   
   
   • abnamrofutures.com
   • activebanking.de
   • allbank.de
   • allianz.de
   • amdirect.ambg.com.my
   • americanexpress.com
   • apobank.de
   • arabbank.com
   • asbbank.co.nz
   • asia.citibank
   • axabanque.fr
   • b2b.de
   • bacaf.at
   • baj.com.sa
   • bamernet.hn
   • banco-general.com
   • bank of india
   • bank.eldersruralbank.com.au/banking/ERBIBanking/
   • bankhaus-mayer.de
   • banking-service.de
   • banking.apobank.de
   • banking.apobank.de/
   • banking.bankhaus-mayer.de/login.php
   • banking.bmwbank.de/dbc/login.html
   • banking.bw-bank.de
   • banking.bw-bank.de/frame.html
   • banking.cc-bank.de
   • banking.co.at
   • banking.degussa-bank.de/de/
   • banking.degussa-bank.de/de/start.htm
   • banking.diba.de/DIBA?rqh=STARTUP&ZIEL=main
   • banking.diba.de/OnlineBanking/index.html
   • banking.donner.de/default.jsp
   • banking.elba.at/html/login.jsp
   • banking.europace.ie/epps/login.dialog?p_loginmask=gmac
   • banking.hypo.at/html/login.jsp
   • banking.ing-diba.at/dibaonline/login.jsp
   • banking.martinbank.de/login.aspx
   • banking.privatbank.at/html/login.jsp
   • banking.raiffeisen.at/html/login.jsp
   • banking.santander.de
   • banking.santander.de/sdb/prepareLogin.do
   • banking.seb.de
   • banking.seb.de/pt/
   • banking.vkb-bank.at/html/login.jsp
   • bankingonline.de
   • banklenz.de
   • bankone
   • bankone.com.au
   • banpais.hn
   • barclaycard.de
   • baufinanzierung.dslbank.de
   • baufinanzierung.dslbank.de/webcredit-frontoffice/LoginSeite.jsp
   • bawag.com.at
   • bendigobank.com.au
   • berenbergbank.de
   • bgl.lu
   • billscenter
   • billscenter.paytrust.com/csp/CSPServlet/Login?
   • bks-banking.at
   • blc direct
   • bmwbank.de
   • bob.bankwest.com.au
   • bob.bankwest.com.au/BWAMain.asp
   • boq.com.au
   • brokerage.comdirect.de
   • brokerage.comdirect.de/index.jsp?ziel=duallogin&permissionId=memberdatamaintenance&errorCode=0
   • btfunds
   • cash.rin.ru/cgi-bin/auth.pl
   • cebit.de
   • cetelem.de
   • citibank.co.uk
   • citibiz
   • citibusinessonline.da-us.citibank.com/cbusol/busSignOn.do
   • commerzbanking.de
   • cortalconsors.de
   • creditmutuel.fr
   • creditplus.de
   • creditplus.de/cgi-bin/WebObjects/BOV4?Einstieg=Haendler
   • daimlerchrysler-bank.de
   • davis-company.com
   • debema.de
   • degussa-bank.de
   • deutsche-bank.de
   • deutsche-factoring.de
   • dfbonline.deutsche-factoring.de/dfbonline/html/index.htm
   • dhbbank.com
   • diba.de
   • dollarbank
   • donner.de
   • dresdner.de
   • dslstar.de
   • dws-direkt.deutsche-bank.de/check.asp?id=6110B558-0AC2-33DB-0502-520914080619
   • e-bank.feibbank.com/index.htm
   • e-bank.wuestenrot.de/pkmsstepuplogin.form
   • ebank.hsbc.co.nz
   • ebank.laiki.com/CommonUI/eBankAUUI/LoginAU.aspx
   • ebanker.arabbank.com.au/
   • ebanking.bawag.com/InternetBanking/InternetBanking?d=login&lang=de&svc=BAWAG
   • ebanking.bgl.lu/en/bgl
   • ebankinter
   • elba.at
   • eldersruralbank
   • etimebanker.bankofthewest.com/SITE/6.0_signin/signin.asp
   • europace.ie
   • ewm.ubs.com/de00-safe-login/Login?handler=SAFEGetLogin
   • fcb-e-bank.com
   • feibbank
   • fh-vie.ac.at
   • fiservdmecom
   • fiservdmecom1
   • fnc.asbbank.co.nz/
   • gad.de
   • generalibank.at
   • global-banking.de
   • hbci-banking.allbank.de/fb3/jsp/allbank/de/login
   • hoernerbank.de
   • homebank.tsbbank.co.nz
   • homebank.tsbbank.co.nz/
   • homebanking-berlin.de
   • hypo.at
   • ib.national.com.au/nabib/login.jsp
   • ib2.inetbank.net.au
   • ibank.stgeorge.com.au/html/index.asp?origin=ABA&redirected=True&JavaVendor=MICROSOFT&ClientPlatfor
   • inetbnkp.adelaidebank.com.au/OnlineBanking/AdBank
   • ing-diba.at
   • ingretirem
   • internetbanking.gad.de/banking/banking;
   • internetbanking.gad.de/banking/portal?bankid=4967
   • internetbanking.suncorpmetway.com.au/sml/logon.asp?
   • investing.schwab.com/trading/start?&AddrChangeAuth
   • izb.de
   • kiwibank.co.nz
   • konto.xcom-bank.de/b2cbp/login.do;jsessionid
   • laiki.com
   • leu.directnet.com/dn/c/cls/auth?language=
   • macquarie
   • martinbank.de
   • mein.raiffeisen.at/personalization/
   • midamerica
   • mmgbank
   • my.banklenz.de/RequestLayer?
   • my.hypovereinsbank.de
   • my.hypovereinsbank.de/prot/templates/login_frame.jsp
   • my.ingretirementplans.com/INGAccess/SULLogin.fcc
   • myaxa.de
   • national inter bank
   • national-bank.de
   • national.com
   • necu
   • netbank
   • netbank-money.de
   • netbanking.at
   • netbanking.sozialbank.de/smartoffice/
   • networld-ebanking.de
   • noname.de
   • norisbank.de
   • oberbank-banking.at
   • olb.westpac
   • online-banking.de
   • online-banking.vwbank.de
   • online-banking.weberbank.de/home/index.htm
   • online-service.allianz.de/identityprovider_app/aos/identityprovider
   • online.btfunds.com.au/retailinvestor/investor
   • online.dollarbank.com/cgi-bin/rsa2clnt.dll/NB%20-%20Main/ND000_
   • online.westpac.com.au/SignIn
   • onlinebanking.norisbank.de/norisbank/login.do?method=login
   • onlineservices
   • onlineservices.amp.com.au/logon/eservicesLogon.asp?activated=true
   • personal.macquarie.com.au
   • portal-banking.de
   • portal01.commerzbanking.de/P-Portal/XML/IFILPortal/pgf.html?Tab=3
   • portal1.izb.de/ihb/dkb-bank/Main
   • privatbank.at
   • privatebanking.debema.de/dbm/how.jsp
   • privatkunden.union-investment.de
   • raiffeisen.at
   • sabadella
   • saradar
   • schwab
   • schwaebische-bank.de
   • sec.westpac.co.nz
   • sec.westpac.co.nz/IOLB/newSession
   • secure.accu
   • secure.accu.com.au/
   • secure.americanfederal.net
   • secure.bankone.com.au/login.asp?check
   • secure.dnetz-b2b.de/ssl_peugeotbank/bstkdn/login.asp
   • secure.easy-car-credit.de/anmelden.asp
   • secure.easy-car.de
   • secure.nationalinterbank.com/Scripts/ni4.dll=
   • secure.rabobank.com.au
   • secure.rabobank.com.au/ribs/scripts/abtwsac.exe/clientInternetView
   • servicebank.at
   • services.credit-suisse.de
   • services.credit-suisse.de/pbi/pbov/c/cls/auth
   • sozialbank.de
   • ssl.4alpha.de/ios-4alpha/onlinefiliale/php/zugang/anmelden2.php?SID=
   • sso.americanexpress.com/SSO/request?
   • standardchartered.com
   • stgeorge
   • suncorpmetway
   • superbank.co.nz
   • svr1.instant-ecash.com
   • swkbank.de
   • swkbank.de/page/kontakt/login.php?PHPSESSID=
   • ubs.com.de
   • union-investment.de
   • uniservices3.uobgroup
   • uniservices3.uobgroup.com/CLO/Pub_ControllerServlet?cmd=customerlogin&action=clologin
   • visionsfcu
   • vkb-bank.at
   • volswagen.de
   • vr-ebanking.de
   • web.cplnn.com/svhost32.exe
   • web7.evault.ws/pbi_pbi1961/pbi1961.asp?Rt=121142287&LogonBy
   • webbank.standardchartered.com/idc/login.jsp
   • wertpapier.schwaebische-bank.de/login.php
   • westlbmarkets.net
   • westpac
   • wsk-bank.at
   • wuestenrot.de
   • ww2.homebanking-berlin.de/cgi/anfang.cgi
   • www.aaztecgold.com
   • www.abgoldcommerce.com
   • www.abnamrofutures.com/abacus_syd/nfront/Main.asp
   • www.amazon.com
   • www.americanexpress.com/australia/homepage.shtml
   • www.anb.com.sa/tadonline/default.asp
   • www.anz.com
   • www.anz.com/inetbank/bankmain.asp
   • www.anz.com/nz/inetbank/bankmain.asp
   • www.asia.citibank.com/asia/index/hm_leftNav_trans/1,3834,13-en,00.html
   • www.axabanque.fr/client/sAuthentification?
   • www.bacaf.at/page/start.mv?NOFRAMES
   • www.bamernet.hn/ws2/servlet/com.dlya.bantotal.hhbk0700
   • www.banco-general.com/bgespanol/index.asp
   • www.banking.co.at/m000/ibk/login.html
   • www.bankingonline.de/psd-banking/view/index.jsp?blz=10090900&graphics=true
   • www.bankingonline.de/sparda-banking/view/index.jsp?graphics=true&blz=
   • www.bankofindia.com/home/registration/login.aspx
   • www.bankone.com.au/
   • www.banpais.hn/flash.asp
   • www.barclaycard.de/service/service.php3?start=true&cs_vid_save=
   • www.bendigobank.com.au/banking/BBLIBanking/
   • www.berenbergbank.de/my_berenberg/index.html
   • www.berenbergbank.de/my_berenberg/index_e.html
   • www.bks-banking.at/cgi/anfang.cgi/BKS
   • www.blcdirect.banquelaurentienne.ca/login
   • www.bnz.co.nz
   • www.bnz.co.nz/Internet_Banking/0,,10-123,00.html?pmarkC=Image&pmarkK=1227
   • www.boq.com.au/EDS.IB/
   • www.bv-activebanking.de/
   • www.cashcards.net
   • www.cebit.de/homepage_e?x=1
   • www.cetelem.de/site/haendlerlogin.php
   • www.cetelembank.de/site/haendlerlogin.php
   • www.citibank.com.au
   • www.citibank.com.au/portal/citiau_home_center.jsp?frameval1=customerSigninLink1
   • www.cortalconsors.de/euroWebDe/
   • www.creditmutuel.fr
   • www.daimlerchrysler-bank.com/intrade/disp;jsessionid=
   • www.dhbbank.com/NetBanking/TagesGeldLogin.aspx
   • www.dresdner-privat.de/index.html?
   • www.dslstar.de/epps/login.dialog?p_loginmask=dsl
   • www.e-gold.com/acct/login.html
   • www.ebank.hsbc.co.nz/jsp/en/login.jsp
   • www.ebankinter.com/www/es-es/cgi/ebk
   • www.efirstbank.com
   • www.eservices.baj.com.sa/default.asp
   • www.fcb-e-bank.com/
   • www.fh-vie.ac.at/V1/login.aspx?PID=588
   • www.firstbanks.com
   • www.fiservdmecom1.net
   • www.fiservdmecom1.net/PBI_Pbi1961/Pbi1961.asp?Rt=104901940&LogonBy=connect3&PRMAccess=Account&user=t
   • www.fiservla3.com/PBI1961.asp?Rt
   • www.generalibank.at/geb/jsp/logon_anmelden.jsp
   • www.gitgold.com
   • www.global-banking.de/aktivbank/login/login.jsp
   • www.goldage.net/buy.aspx
   • www.goldcurrencies.ca
   • www.goldpouchexpress.com
   • www.hoernerbank.de/ebanking/
   • www.icegold.com
   • www.internet-banking-service.de/cgi-bin/catwaycgi?runScript=login&
   • www.kiwibank.co.nz/banking/login.asp
   • www.londongoldexchange.com
   • www.loyalbank.com
   • www.metal-escrow.com
   • www.midamericabank.com/s_log_into.cfm
   • www.mmgbank.com/scripts/mmg.dll?lang=
   • www.myaxa.de/myaxa/login/LogInput.do
   • www.national-bank.de/www/frames/10_00_00.asp?mid
   • www.ncrbanks.com/
   • www.necu.com.au/802292V3/ntv3.asp?wci=entry
   • www.netbank-money.de/netbank-banking/view/index.jsp?blz=20090500&graphics=true
   • www.netbanking.at/netbanking/index.start;jsessionid=
   • www.netbanking.at/netbanking/index.start?
   • www.netteller.com/
   • www.oberbank-banking.at/LoginHomepage.htm
   • www.omnipay.com
   • www.portal-banking.de/wps/portal/!ut/p/.scr/Login?view=spb&blz=
   • www.sabadellatlantico.com/=
   • www.saradar.com/sfp/sfp_ef_html/public_page.html
   • www.servicebank.at/cgi/anfang.cgi/BTV
   • www.site-secure.com/cgi-bin/cgig555.exe/newport/SID/GetLogon
   • www.superbank.co.nz/ExpressBanking/login.asp
   • www.tampaexchange.net
   • www.thebullionexchange.com
   • www.visionsfcu.com/cgi-bin/mcw000.cgi?MCWSTART5&
   • www.vr-ebanking.de/index.php?
   • www.vr-networld-ebanking.de/index.php?
   • www.westlbmarkets.net/cms/sitecontent/ib/
   • www.winweb.seceti.it/webapp/winweb/ProfileUsersServlet?banca=
   • www.wsk-bank.at/wsk/user/index.ndm/singlelogin
   • www0.advisernet.com.au/aol/cgi-bin/advhome/advancehome.cgi
   • www1.internet-trading1.com
   • www1.netbank.commbank.com.au/netbank/bankmain.htm
   • www2.bankingonline.de/sparda-banking/view/index.jsp?graphics=true&blz=
   • xcom-bank.de
     
     
5. Surveille les connexions Internet pour identifier l'accès aux sites Web financiers avec les titres suivants :
   
   
   • BrownCo | Online Investing
   • Login to Ameritrade
   • ameritrade
   • AMCORE Online
   • amcore
   • Zions Bank: Home Page
   • zions
   • FirePay.com
   • fire pay
   • T&C Federal Credit Union: Home Page
   • t&c
   • Union State Bank - Portal
   • union state
   • Farmers & Merchants Bank - Login
   • farmers
   • ESB Bill Pay
   • esbbill
   • Industrial State Bank
   • industrial
   • Security Bank of Kansas City
   • security of kansas
   • Login - Peoples Bank
   • Premier Bank
   • peoples
   • Kansas State Bank
   • kansas state bank
   • The Mission Bank
   • the mission
   • First Bank of Newton
   • Hillcrest Bank
   • hillcrest
   • Welcome To Metcalf Bank
   • metcalf
   • Valley View Bank
   • valley
   • The Bennington State Bank
   • benington
   • firststateks.com
   • firststateks
   • Login - Commerce Bank
   • commerce
   • Kendall State Bank
   • kendal state
   • The Trust Company of Kansas - Online Access
   • trust of kansas
   • Amarillo National Bank
   • amarillo
   • Sumx Banking
   • sumx
   • Busey Financial Services
   • busey
   • Chase.com Home Page
   • chase
   • Commerce Online
   • commerce2
   • Juniper - Save Time and Money with the Juniper Credit Card
   • juniper
   • ATBOnline
   • atb
   • American Savings Bank
   • amsavings
   • Banamex.com
   • banamex
   • Banca Popolare di Bergamo
   • bergamo
   • Bradesco - Colocando voc
   • bradesco
   • Unibanco.com
   • unibanko
   • Banco de Reservas - Portal Financiero
   • reservasIT
   • Banco di Caribe Online
   • di caribe
   • Banco Ita
   • Banregio
   • banregio
   • Banespa
   • banespa
   • Bank Midwest
   • midwest
   • Bank Independent
   • independment
   • United Commercial Bank
   • united commercial
   • Bank of the Orient
   • Bank of the Cascades
   • cascades
   • American Gateway Bank
   • american gateway
   • Welcome to Brenham National Bank
   • brenham national
   • Bruceton Bank, Your Community Bank.
   • bruceton
   • Beneficial Home
   • beneficial
   • Sofinco : Cr
   • sofinco
   • www.socgen.com
   • socgen
   • Bienvenue sur La Poste.fr
   • la poste FR
   • Caisse d'Epargne, jeunes, associations, professionnels, entreprises, pme,
   • caisse FR
   • LAFCU
   • lafcu
   • KeyPoint Credit Union
   • keypoint
   • Alpha Bank
   • alphabank
   • TIBLink Internet Banking Sign On
   • tibbank
   • Welcome to Nodaway Valley Bank Online
   • nodawayvalleybank
   • First Hawaiian Bank
   • fhb
   • Bendingo e-banking
   • bendigo
   • First Tennessee
   • firsttennessee
   • Tompkins Trust - Community Banks in Ithaca
   • tompkinstrust
   • Bank Austria Creditanstalt
   • baca
   • Transaction Manager Deutsche Bank
   • deutschebank
   • Fidelity Investments
   • fidelity
   • Morgan Stanley Online
   • dwdean
   • Postbank Banking Service
   • postbank
   • Dresdner Bank - Privatkundenportal
   • dresdner_privat
   • moneybookers.com - and money moves
   • moneybookers
   • Welcome to FlyntDigital
   • flyntdig
   • Bankwest Online Business Banking
   • bankwest
   • DEFCREDIT Direct
   • defcredit.com.au
   • NetBank - Logon
   • EzyBank
   • Heritage on-line
   • heritage
   • ANCU - Internet Banking Login
   • ancu
   • ANZ E*TRADE
   • anz_etrade
   • Washington Mutual - Log On
   • wamu
   • http:/ /mbk.rbc.ru
   • RBC RUS
   • WitnessInfo - Logon
   • witness info
   • Charter One Bank
   • charteronebank
   • Buy E Gold
   • Cambist.net
   • Personal Banking
   • on line banking
   • Internet Banking
   • Web Banking
   • Home Banking
     
     
6. Enregistre les frappes de clavier tapées dans la page Web du site financier.
   
   
7. Se connecte par l'intermédiaire des ports TCP 1051 et supérieurs à un serveur IRC prédéterminé sur le domaine ern.nnctx.com.ru, fournissant un accès de porte dérobée à l'attaquant pour réaliser les commandes suivantes :
   
   
   • Définir un serveur proxy
   • Participer aux attaques de type déni de service distribué (DDoS)
   • Télécharger et exécuter des fichiers, qui peuvent inclure une version mise à jour du ver
   • Surveiller l'activité Internet pour des sites Web financiers spécifiques
   • Enregistrer les frappes de clavier
   • Agir comme un relais de courrier électronique, permettant à des attaquants distants de diriger le courrier électronique
   • Répertorier, arrêter et lancer des processus et des services
   • Rediriger le trafic HTTP pour alterner les sites Web
   • Modifier, supprimer, et exécuter des fichiers ou des dossiers
     
     
8. Modifie le fichier Hosts en ajoutant les lignes suivantes pour empêcher l'accès aux hôtes indiqués, certains pouvant être liés à la sécurité.
   
   d-ru-1f.kaspersky-labs.com
   d-ru-1h.kaspersky-labs.com
   d-ru-2f.kaspersky-labs.com
   d-ru-2h.kaspersky-labs.com
   d-eu-2f.kaspersky-labs.com
   d-eu-2h.kaspersky-labs.com
   d-eu-1f.kaspersky-labs.com
   d-eu-1h.kaspersky-labs.com
   d-us-1f.kaspersky-labs.com
   d-us-1h.kaspersky-labs.com
   downloads1.kaspersky.ru
   downloads2.kaspersky.ru
   downloads3.kaspersky.ru
   downloads4.kaspersky.ru
   downloads5.kaspersky.ru
   www.kaspersky.ru
   kaspersky.ru
   kaspersky-labs.com
   www.kaspersky-labs.com
   barclays.co.uk
   hsbc.co.uk
   ibank.barclays.co.uk
   kaspersky-labs.com
   kaspersky.ru
   lloydstsb.co.uk
   nwolb.com
   online.lloydstsb.co.uk
   personal.barclays.co.uk
   www.barclays.co.uk
   www.hsbc.co.uk
   www.kaspersky-labs.com
   www.kaspersky.ru
   www.lloydstsb.co.uk
   www.lloydstsb.com
   www.nwolb.com

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

• Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
• Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
• Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
• Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
• Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
• Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
• Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.