Virussen | Spyware
Bankash.A
Met behulp van deze websites kunt u het Bankash.A virus verwijderen:
verwijderen Bankash.A virus
PWSteal.Bankash.A is een wachtwoord stelend Trojan horse dat probeert om gebruikersnamen en wachtwoorden van bepaalde financiële Websites te registreren. De Trojan zal ook proberen om de AntiSpyware software van Microsoft onbruikbaar te maken.Nota: De definities van het virus die voorafgaand aan 10 Februari..2005 worden vrijgegeven kunnen deze bedreiging als Trojan PWSteal. ontdekken.
Ook Gekend als: Trojan-Downloader.Win32.Small.ain [ Laboratorium Kaspersky ], pws-Banker.j [ McAfee ], Troj/bankAsh-A [ Sophos ]
Type: Trojan Paard
De Lengte van de besmetting: 171.008 bytes
Beïnvloede systemen: windows 2000, Windows 95, windows 98, windows me, windows NT, de Server 2003, windows XP van windows
De Definities van het virus (Intelligente Updater) *
10 Februari..2005
De Definities van het virus (LiveUpdate™) **
16 Februari..2005
*
De intelligente definities Updater worden dagelijks vrijgegeven, maar vereisen handdownload en installatie.
Klik hier aan download manueel.
**
LiveUpdate worden de virusdefinities gewoonlijk vrijgegeven elke Woensdag.
Klik hier voor instructies bij het gebruiken van LiveUpdate.
Wild
Aantal besmettingen: 0 - 49
Aantal plaatsen: 0 - 2
Geografische distributie: Laag
De insluiting van de bedreiging: Gemakkelijk
Verwijdering: Matig me
De Metriek van de bedreiging
Wildernis:
Laag
Schade:
Middel
Distributie:
Laag
Schade
De Trekker van de nuttige lading: n/a
Nuttige lading: n/a
Grote schaal die met de elektronische post verstuurt: n/a
Schrapt dossiers: Schrapt dossiers.
Wijzigt dossiers: Wijzigt het dossier van Hosts.
Degradeert prestaties: n/a
Het systeeminstabiliteit van oorzaken: De processen van einden.
Vertrouwelijke info van versies: Steelt gebruikersbenamingen en wachtwoorden voor verscheidene financiële Websites.
De veiligheidsmontages van compromissen: Maakt Microsoft's de software van AntiSpyware onbruikbaar.
Distributie
Onderwerp van e-mail: n/a
Naam van gehechtheid: n/a
Grootte van gehechtheid: n/a
De zegel van de tijd van gehechtheid: n/a
Havens: n/a
Gedeelde aandrijving: n/a
Doel van besmetting: n/a
Zodra PWSteal.Bankash.A wordt uitgevoerd, voert het de volgende acties uit:
Laat vallen het dossier %System%\ASH. DLL.
Nota: %System% is een variabele die naar de omslag van het Systeem verwijst. Door gebrek is dit C:\Windows\System (windows 95/98/Me), C:\Winnt\System32 (windows NT/2000), of C:\Windows\System32 (windows XP).
Creëert de volgende registratie subkeys:
HKEY_CLASSES_ROOT\CLSID\{C6176B04-8896-4446-9939-E00EE94C420F}
HKEY_CLASSES_ROOT\AntiSpy. AntiSpy
HKEY_CLASSES_ROOT\AntiSpy.AntiSpy.1
Voegt de waarde toe:
"(Gebrek)" = "IIEHlprObj"
aan registratiesubkey:
HKEY_CLASSES_ROOT\Interface\{17A45F93-AEC8-440B-AC33-1BA9CC3192AC}
om zijn dlldossier te registreren.
Voegt de waarde toe:
"(Gebrek)" = "ALS 0,96 typen Bibliotheek"
aan registratiesubkey:
HKEY_CLASSES_ROOT\TypeLib\{D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F}\1.0
om zijn dlldossier te registreren.
Creëert volgende registratiesubkey:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Explorer\Browser Helper Object\{C6176B04-8896-4446-9939-E00EE94C420F}
zo wordt het dlldossier automatisch geladen door de Ontdekkingsreiziger van windows.
Wijzigt de waarde:
De "Pagina van het begin" = "about:blank"
in de registratie subkeys:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
zodat Internet Explorer voor de pagina "about:blank" opent.
De vertoningen vervalsen Web-pagina's en probeert om gebruikersnamen en wachtwoorden te registreren wanneer Internet Explorer tot de volgende financiële Websites toegang heeft:
ibank.barclays.co.uk
ibank.cahoot.com
www.halifax-online.co.uk
www.ebank.hsbc.co.uk
www.ebank.hsbc.com.hk
online.lloydstsb.co.uk
olb2.nationet.com
www.nwolb.com
welcome9.smile.co.uk
sec.westpactrust.co.nz
olb.westpactrust.com.au
www.rbsdigital.com
myonlineaccounts2.abbeynational.co.uk
web.da-us.citibank.com
www.bpinet.pt
www.activobank7.pt
www.national.com.au
www.iblogin.com
Uploadt periodiek het logboek van gevangen gebruikersbenamingen en wachtwoorden aan een vooraf bepaalde server van FTP.
Registreert vertrouwelijke informatie zoals e-maildetails, wachtwoorden, HTTP- verzoeken die aan financiële Websites worden gepost, en Microsoft Uitdrukkelijke de rekeningsmontages van Vooruitzichten. Deze vertrouwelijke informatie wordt bewaard in de volgende dossiers en verzonden naar een verre aanvaller via FTP:
%Windir%\email.log
%Windir%\pass.log
%Windir%\req.log
Nota: %Windir% is een variabele die naar de de installatieomslag van windows verwijst. Door gebrek, is dit C:\Windows of C:\Winnt.
Schrapt volgende subkey:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\gcasServ
om de Microsoft AntiSpyware toepassing onbruikbaar te maken.
Beëindigt de volgende processen, die deel van de Microsoft AntiSpyware toepassing uitmaken:
GCASCLEANER
GCASDTSERV
GCASINSTALLHELPER
GCASNOTICE
GCASSERV
GCASSERVALERT
GCASSWUPDATER
GCIPTOHOSTQUEUE
GIANTANTISPYWAREMAIN
GIANTANTISPYWAREUPDATER
Schrapt alle dossiers in de omslag C:\Program Files\Microsoft AntiSpyware.
Verhindert gebruikers waarschuwingsberichten van de Microsoft AntiSpyware toepassing te bekijken.
Wijzigt het dossier van Hosts om toegang tot verscheidene Websites te verhinderen.
Downloadt en installeert updates voor de bedreiging.
De pogingen aan unregister en schrappen dan het %System%\IEHELPER. Dll- dossier.
De Reactie van de Veiligheid van Symantec moedigt alle gebruikers en beheerders aan om de volgende basisveiligheid "beste praktijken" aan te hangen:
De draai weg en verwijdert de onnodige diensten. Door gebrek, installeren vele werkende systemen de hulpdiensten die niet kritiek, zoals een server van FTP, Telnet, en een server van het Web zijn. Deze diensten zijn wegen van aanval. Als zij worden verwijderd, hebben de gemengde bedreigingen minder wegen van aanval en u minder diensten hebben door flardupdates te handhaven.
Als een gemengde bedreiging één of meerdere netwerkdiensten exploiteert, maak, of blokkeer toegang tot onbruikbaar, die diensten tot een flard wordt toegepast.
Houd altijd uw flardniveaus, vooral op computers bijgewerkt die openbare diensten ontvangen en toegankelijk door de firewall, zoals HTTP, FTP, post, en DNS de diensten zijn (bijvoorbeeld, zouden alle Op Windows gebaseerde computers het huidige geïnstalleerde Pak van de Dienst moeten hebben). Bovendien, te passen gelieve om het even welke veiligheidsupdates toe die in dit verslag, in de vertrouwde op Bulletins van de Veiligheid, of op verkopersWebsites worden vermeld.
Dwing een wachtwoordbeleid af. De complexe wachtwoorden maken het moeilijk om wachtwoorddossiers op gecompromitteerde computers te barsten. Dit helpt om schade te verhinderen of te beperken wanneer een computer wordt gecompromitteerd.
Vorm uw e-mailserver om e-mail te blokkeren of te verwijderen die dossiergehechtheid bevat die algemeen wordt gebruikt om virussen, zoals vbs, bat, exe, pif en scr dossiers uit te spreiden.
Isoleer snel besmette computers om verder het compromitteren van uw organisatie te verhinderen. Voer een gerechtelijke analyse uit en herstel de computers gebruikend vertrouwde op media.
Leid werknemers op om gehechtheid niet te openen tenzij zij hen verwachten. Ook, voer geen software uit die van Internet wordt gedownload tenzij het voor virussen is afgetast. Eenvoudig kan het bezoeken van een gecompromitteerde Website besmetting veroorzaken als bepaalde browser kwetsbaarheid niet hersteld is.
De volgende instructies behoort tot alle huidige en recente antivirus Symantec producten, met inbegrip van Symantec AntiVirus en het productlijnen van Norton AntiVirus.
Maak Systeem onbruikbaar herstellen (windows me/XP).
Werk de virusdefinities bij.
Stel een volledig systeemaftasten in werking en schrap alle dossiers die als PWSteal.Bankash.A. worden ontdekt
Schrap de waarde die aan de registratie werd toegevoegd.
Stel de het beginpagina terug van Internet Explorer.
Voor specifieke details op elk van deze stappen, lees de volgende instructies.
1. Om Systeem onbruikbaar te maken herstel (windows me/XP)
Als u windows me of windows XP in werking stelt, adviseren wij dat u Systeem herstelt tijdelijk uitzet. De windows me/XP gebruikt deze eigenschap, die door gebrek wordt toegelaten, om de dossiers op uw computer te herstellen voor het geval dat zij beschadigd worden. Als een virus, worm, of Trojan een computer besmet, herstelt het Systeem kan het virus, worm steunen, of Trojan op de computer.
De windows verhindert buitenprogramma's, met inbegrip van antivirus programma's, van het wijzigen van Systeem herstel. Daarom antivirus kunnen de programma's of de hulpmiddelen bedreigingen in het Systeem verwijderen niet herstellen omslag. Dientengevolge, herstelt het Systeem heeft het potentieel van het herstellen van een besmet dossier op uw computer, zelfs nadat u de besmette dossiers van alle andere plaatsen hebt schoongemaakt.
Ook, kan een virusaftasten ontdekken een bedreiging in het Systeem omslag herstelt alhoewel u de bedreiging hebt verwijderd.
Voor instructies op hoe te om Systeem uit te zetten herstel, lees uw documentatie van windows, of één van de volgende artikelen:
"Om windows onbruikbaar te maken of toe te laten herstel me Systeem"
"Om het Systeem van windows uit te zetten of aan te zetten XP herstel"
Nota: Wanneer u volledig beëindigd met de verwijderingsprocedure bent en beëindigd dat de bedreiging is verwijderd, re-laat Systeem toe herstellen door de instructies in de voornoemde documenten te volgen.
Voor extra informatie, en een alternatief voor het onbruikbaar maken windows me Systeem herstel, zie het Microsoft Artikel van de Kennisbank, de "Antivirus Hulpmiddelen kunnen Besmette Dossiers in _ schoonmaken niet herstellen Omslag," Artikel identiteitskaart: Q263455.
2. Om de virusdefinities bij te werken
De Reactie van de Veiligheid van Symantec test volledig alle virusdefinities voor kwaliteitsverzekering alvorens zij aan onze servers worden gepost. Er zijn twee manieren om de meest recente virusdefinities te verkrijgen:
Het lopen LiveUpdate, die de gemakkelijkste manier is om virusdefinities te verkrijgen: Deze virusdefinities worden gepost aan de servers LiveUpdate eens elke week (gewoonlijk op Woensdagen), tenzij er een belangrijke virusuitbarsting is. Om te bepalen of de definities voor deze bedreiging door LiveUpdate beschikbaar zijn, verwijs naar de Definities van het Virus (LiveUpdate).
Het downloaden van de definities die Intelligente Updater gebruiken: De Intelligente Updater virusdefinities worden dagelijks gepost. U zou de definities van de website van de Reactie van de Veiligheid moeten downloaden Symantec En manueel hen installeren. Om te bepalen of de definities voor deze bedreiging door Intelligente Updater beschikbaar zijn, verwijs naar de Definities van het Virus (Intelligente Updater).
De Intelligente Updater virusdefinities zijn beschikbaar: Lees "hoe te om de dossiers van de virusdefinitie bij te werken gebruikend Intelligente Updater" voor gedetailleerde instructies.
Nota: Als u een fout, zoals LU1418 ziet, wanneer u probeert om LiveUpdate in werking te stellen en u niet kunt de Website krijgen die Intelligente Updater ontvangt, is het waarschijnlijk dat de worm het dossier van Hosts heeft gewijzigd. U kunt of LiveUpdate 2,5 downloaden en installeren, die ingangen Symantec uit dat dossier kan verwijderen, of u kunt het uitgeven zelf. Zie de instructies voor allebei in hieronder sectie de van de "Extra Informatie".
3. Om af te tasten voor en de besmette dossiers te schrappen
Begin uw antivirus Symantec programma en zorg ervoor dat het wordt gevormd om alle dossiers af te tasten.
Voor de verbruiksgoederen van Norton AntiVirus: Lees het document, "hoe te om Norton AntiVirus te vormen om alle dossiers af te tasten."
Voor de producten van de Onderneming van Symantec AntiVirus: Lees het document, "hoe te om te verifiëren dat een Symantec het Collectieve antivirus product wordt geplaatst om alle dossiers af te tasten."
Stel een volledig systeemaftasten in werking.
Als om het even welke dossiers zoals besmet met PWSteal.Bankash.A worden ontdekt, klik Schrapping.
Nota: Als uw antivirus Symantec product rapporteert dat het een besmet dossier niet kan schrappen, kunnen de windows het dossier gebruiken. Om dit te bevestigen, stel het aftasten op Veilige wijze in werking. Voor instructies, las het document, "hoe te om de computer op Veilige Wijze te beginnen." Zodra u op Veilige wijze opnieuw bent begonnen, stel opnieuw het aftasten in werking.
Nadat de dossiers worden geschrapt, begin de computer op Normale wijze opnieuw en ga met sectie 4 te werk.
4. Om de waarde van de registratie te schrappen
Belangrijk: Symantec adviseert sterk dat u de registratie alvorens om het even welke veranderingen in het steunt aan te brengen. De onjuiste veranderingen in de registratie kunnen in permanent gegevensverlies of bedorven dossiers resulteren. Wijzig slechts gespecificeerd subkeys. Lees het document, "hoe te om een steun van de registratie van windows," voor instructies te maken.
Klik Begin > Gelopen.
Typ regedit
Dan klik O.K..
Navigeer aan subkey:
HKEY_CLASSES_ROOT\Interface\{17A45F93-AEC8-440B-AC33-1BA9CC3192AC}
In de juiste ruit, schrap de waarde:
"(Gebrek)" = "IIEHlprObj"
Navigeer aan subkey:
HKEY_CLASSES_ROOT\TypeLib\{D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F}\1.0
In de juiste ruit, schrap de waarde:
"(Gebrek)" = "ALS 0,96 typen Bibliotheek"
Navigeer aan en schrap volgende subkeys:
HKEY_CLASSES_ROOT\CLSID\{C6176B04-8896-4446-9939-E00EE94C420F}
HKEY_CLASSES_ROOT\AntiSpy. AntiSpy
HKEY_CLASSES_ROOT\AntiSpy.AntiSpy.1
Ga de Redacteur van de Registratie weg.
5. Om de het beginpagina van Internet Explorer terug te stellen
Begin Microsoft Internet Explorer.
Verbind met Internet, en ga dan naar de pagina die u als uw beginpagina wilt plaatsen.
Klik Hulpmiddelen > de Opties van Internet.
In de sectie van de Homepage van het Algemene lusje, klik de Stroom van het Gebruik > O.K..
Extra informatie:
Het verwijderen van ingangen uit het dossier van Hosts
Als deze bedreiging het dossier van de Hosts van windows heeft gewijzigd, zijn er twee manieren om deze ingangen te verwijderen:
Installeer en stel de huidige versie van LiveUpdate in werking. Dit zal slechts de ingangen verwijderen die naar domeinen Symantec verwijzen.
Geef manueel het dossier van Hosts uit en verwijder alle ingangen die de worm toevoegde.
Om de huidige versie van LiveUpdate in werking te stellen
Klik download LiveUpdate.
Nota: Als u deze Web-pagina op de computer niet leest die het foutenbericht krijgt, is het adres voor het downloaden van het dossier:
ftp://ftp.symantec.com/public/english_us_canada/liveupdate/lusetup.exe
Indien nodig, kunt u dit adres in de adresstaaf van de probleemcomputer typen. De veranderingen in het dossier van Hosts zullen u niet van het krijgen aan deze plaats tegenhouden.
Sparen het dossier aan Windows Desktop.
Dubbelklik het pictogram lusetup.exe op de Desktop om LiveUpdate te installeren.
Stel LiveUpdate in werking.
Zag u het bericht "LU1860: LiveUpdate heeft een potentieel veiligheidscompromis op uw computer "ontdekt?
Als u, LiveUpdate "laten deze ingangen uit de Hostsdossiers" verwijderen (Geadviseerd).
Dit zou LiveUpdate moeten toestaan om te lopen.
Als u niet, was dat niet de oorzaak van het probleem. Terugkeer naar de sectie van de Verwijdering.
Om de Hosts manueel uit te geven dien en verwijder alle ingangen in die de worm toevoegde
Nota: De plaats van het dossier van Hosts kan variëren en sommige computers kunnen dit dossier niet hebben. Bijvoorbeeld, als het dossier in windows 98 bestaat, zal het gewoonlijk in C:\Windows zijn; en het wordt gevestigd in de omslag C:\WINNT\system32\drivers\etc in windows 2000. Er kunnen ook veelvoudige exemplaren van dit dossier in verschillende plaatsen zijn.
Volg de instructies voor uw werkend systeem:
windows 95/98/Me/NT/2000
Klik Begin, richt om , dan Dossiers of Omslagen te vinden of te zoeken en te klikken.
Zorg ervoor dat de "Blik in" aan (C: wordt geplaatst) en dat "omvat subfolders" wordt gecontroleerd.
In "Genoemd" of "Onderzoek naar..." doos, typ:
Hosts
Klik nu Vondst of Onderzoek nu.
Voor elk dossier van Hosts dat u vindt, klik het dossier met de rechtermuisknop aan, en klik dan Open met.
Schrap het "gebruiken altijd dit programma om vakje van de dit programma" te openen controle.
De rol door de lijst van programma's en dubbelklikt Notepad.
Wanneer het dossier opent, schrap alle ingangen die door de bedreiging worden toegevoegd.
Sluit Notepad en bewaar uw veranderingen wanneer veroorzaakt.
windows XP
Klik Begin > Onderzoek.
Klik Alle dossiers en omslagen.
In "Alles of een gedeelte van de dossiernaam" het vakje, typt:
Hosts
Verifiëer dat de "Blik in" aan "Lokale Harde Aandrijving" of aan (C: wordt geplaatst).
Klik geavanceerdere opties.
Controleer het systeemomslagen van het Onderzoek.
Controleer subfolders van het Onderzoek.
Klik Onderzoek.
Klik nu Vondst of Onderzoek nu.
Voor elk dossier van Hosts dat u vindt, klik het dossier met de rechtermuisknop aan, en klik dan Open met.
Schrap gebruiken altijd dit programma om dit vakje van de programma controle te openen.
De rol door de lijst van programma's en dubbelklikt Notepad.
Wanneer het dossier opent, schrap alle ingangen die door de bedreiging worden toegevoegd.
Sluit Notepad en bewaar uw veranderingen wanneer veroorzaakt.