Virus | Spyware
Bankash-A
Con questi Web site potete rimuovere il virus di Bankash-A:
rimuova Bankash-A virus
PWSteal.Bankash.A è un Trojan Horse parola d'accesso-rubante che tenta di annotare i usernames e le parole d'accesso da determinati luoghi finanziari di fotoricettore. Il Trojan inoltre tenterà di inabilitare il software di AntiSpyware del Microsoft.Nota: Le definizioni del virus liberate prima del 10 febbraio, 2005 possono rilevare questa minaccia come PWSteal.Trojan.
Inoltre Conosciuto Come: Trojan-Downloader.Win32.Small.ain [ Laboratorio ] Di Kaspersky, PWS-Banker.j [ McAfee ], Troj/BankAsh-A [ Sophos ]
Tipo: Trojan Horse
Lunghezza Di Infezione: 171.008 byte
Sistemi Influenzati: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Assistente 2003, Windows.xp Di Windows
Definizioni Del Virus (Updater Intelligente) *
10 febbraio 2005
** Di Definizioni Del Virus (™LiveUpdate )
16 febbraio 2005
*
Le definizioni intelligenti di Updater sono liberate giornalmente, ma richiedono il trasferimento dal sistema centrale verso i satelliti e l'installazione manuali.
Scattisi qui per trasferire manualmente.
**
Le definizioni del virus di LiveUpdate sono liberate solitamente ogni mercoledì.
Scattisi qui per le istruzioni sul usando LiveUpdate.
Selvaggio
Numero di infezioni: 0 - 49
Numero di luoghi: 0 - 2
Ripartizione geografica: Basso
Contenimento di minaccia: Facile
Rimozione: Moderato
Metrica Di Minaccia
Selvaggio:
Basso
Danni:
Mezzo
Distribuzione:
Basso
Danni
Innesco Del Carico utile: n/a
Carico utile: n/a
E-spedire della grande scala: n/a
Cancella le lime: Lime di cancellazioni.
Modifica le lime: Modifica la lima ospiti.
Degrada le prestazioni: n/a
Causa l'instabilità del sistema: Processi di conclusioni.
Libera l'Info confidenziale: Ruba i usernames e le parole d'accesso per parecchi luoghi finanziari di fotoricettore.
Compromette le regolazioni di sicurezza: Software di AntiSpyware del Microsoft di disables.
Distribuzione
Argomento di email: n/a
Nome del collegamento: n/a
Formato del collegamento: n/a
Bollo di tempo del collegamento: n/a
Orificii: n/a
Azionamenti comuni: n/a
Obiettivo dell'infezione: n/a
Una volta che PWSteal.Bankash.A è eseguito, realizza le seguenti azioni:
Cade la lima %System%\ASH.DLL.
Nota: %System% è una variabile che si riferisce al dispositivo di piegatura del sistema. Per difetto questo è C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows.xp).
Genera i seguenti subkeys di registrazione:
HKEY_CLASSES_ROOT\CLSID\{C6176B04-8896-4446-9939-E00EE94C420F}
HKEY_CLASSES_ROOT\AntiSpy.AntiSpy
HKEY_CLASSES_ROOT\AntiSpy.AntiSpy.1
Aggiunge il valore:
"(Difetto)" = "IIEHlprObj"
al subkey di registrazione:
HKEY_CLASSES_ROOT\Interface\{17A45F93-AEC8-440B-AC33-1BA9CC3192AC}
per registrare la relativa lima del DLL.
Aggiunge il valore:
"(Difetto)" = "COME 0.96 Tipi Biblioteca"
al subkey di registrazione:
HKEY_CLASSES_ROOT\TypeLib\{D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F}\1.0
per registrare la relativa lima del DLL.
Genera il seguente subkey di registrazione:
Assistente Object\{C6176B04-8896-4446-9939-E00EE94C420F Di HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Explorer\Browser}
così la lima del DLL è caricata automaticamente da Windows Explorer.
Modifica il valore:
"inizi la pagina" = "about:blank"
nei subkeys di registrazione:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
in modo che il Internet Explorer si apra alla pagina "di about:blank".
Visualizza i Web pagi falsi e tenta di annotare i nomi e le parole d'accesso dell'utente quando il Internet Explorer accede ai seguenti luoghi finanziari di fotoricettore:
ibank.barclays.co.uk
ibank.cahoot.com
www.halifax-online.co.uk
www.ebank.hsbc.co.uk
www.ebank.hsbc.com.hk
online.lloydstsb.co.uk
olb2.nationet.com
www.nwolb.com
welcome9.smile.co.uk
sec.westpactrust.co.nz
olb.westpactrust.com.au
www.rbsdigital.com
myonlineaccounts2.abbeynational.co.uk
web.da-us.citibank.com
www.bpinet.pt
www.activobank7.pt
www.national.com.au
www.iblogin.com
Uploads periodicamente il ceppo dei usernames e delle parole d'accesso bloccati ad un ftp server predeterminato.
Annota le informazioni confidenziali quali i particolari del email, le parole d'accesso, le richieste del HTTP inviate ai luoghi finanziari di fotoricettore e le regolazioni espresse di cliente di prospettiva del Microsoft. Queste informazioni confidenziali sono conservate nelle seguenti lime e sono trasmesse ad un attacker a distanza via il ftp:
%Windir%\email.log
%Windir%\pass.log
%Windir%\req.log
Nota: %Windir% è una variabile che si riferisce al dispositivo di piegatura dell'installazione di Windows. Per difetto, questo è C:\Windows o C:\Winnt.
Cancella il seguente subkey:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\gcasServ
per per inabilitare l'applicazione del Microsoft AntiSpyware.
Conclude i seguenti processi, che fanno parte dell'applicazione del Microsoft AntiSpyware:
GCASCLEANER
GCASDTSERV
GCASINSTALLHELPER
GCASNOTICE
GCASSERV
GCASSERVALERT
GCASSWUPDATER
GCIPTOHOSTQUEUE
GIANTANTISPYWAREMAIN
GIANTANTISPYWAREUPDATER
Cancella tutte le lime nel dispositivo di piegatura di C:\Program Files\Microsoft AntiSpyware.
Evita gli utenti i messaggi d'avvertimento di osservazione dall'applicazione del Microsoft AntiSpyware.
Modifica gli ospiti archiviano per impedire l'accesso a parecchi luoghi di fotoricettore.
I trasferimenti dal sistema centrale verso i satelliti ed installa gli aggiornamenti per la minaccia.
I tentativi a unregister ed allora cancellano la lima di %System%\IEHELPER.DLL.
La risposta di sicurezza di Symantec consiglia a tutti gli utenti e coordinatori aderirsi alla seguente sicurezza di base "pratiche migliori":
Spenga e rimuova i servizi non necessari. Per difetto, molti sistemi operativi installano i servizi ausiliarii che non sono critici, quale un ftp server, telnet e un web server. Questi servizi sono viali dell'attacco. Se sono rimossi, le minacce mescolate hanno meno viali dell'attacco ed avete pochi servizi da effettuare attraverso gli aggiornamenti della zona.
Se una minaccia mescolata sfrutta uno o più servizi di rete, inabiliti, o ostruisca l'accesso a, quei servizi fino ad applicare una zona.
Sempre mantenga i vostri livelli della zona aggiornati, particolarmente sui calcolatori che ospitano i servizi pubblici e sono accessibili attraverso la parete refrattaria, quali il HTTP, il ftp, la posta ed i servizi di DNS (per esempio, tutti i calcolatori windows-based dovrebbero avere il pacchetto corrente di servizio installato). Ulteriormente, applichi prego tutti gli aggiornamenti di sicurezza che sono accennati in questo articolo, nei bollettini di fiducia di sicurezza, o sui luoghi di fotoricettore del fornitore.
Faccia rispettare una politica di parola d'accesso. Le parole d'accesso complesse lo rendono difficile spezzare le lime di parola d'accesso sui calcolatori compromessi. Ciò contribuisce ad impedire o limitare danni quando un calcolatore si compromette.
Configuri il vostro assistente del email per ostruire o rimuovere il email che contiene i collegamenti della lima che sono utilizzati comunemente per spargere i virus, quali le lime dei vbs, del bat, del exe, del pif e del scr.
Isoli rapidamente i calcolatori infettati per evitare più ulteriormente il compromesso della vostra organizzazione. Effettui un'analisi legale e ristabilisca i calcolatori usando i mezzi di fiducia.
Addestri gli impiegati per non aprire i collegamenti a meno che stiano prevedendoli. Inoltre, non esegua il software che sia trasferito dal Internet a meno che sia stato esplorato per i virus. Semplicemente visitare un Web site compromesso può causare l'infezione se determinate vulnerabilità del browser non sono rattoppate.
Le seguenti istruzioni appartengono tutti i prodotti correnti e recenti di antivirus di Symantec, compreso serie di prodotti di Symantec AntiVirus e di Norton AntiVirus.
Inabiliti Il Restore Del Sistema (Windows Me/XP).
Aggiorni le definizioni del virus.
Faccia funzionare un'esplorazione completa del sistema e cancelli tutte le lime rilevate come PWSteal.Bankash.A.
Cancelli il valore che è stato aggiunto alla registrazione.
Ripristini la pagina di inizio del Internet Explorer.
Per i particolari specifici su ciascuno di questi punti, legga le seguenti istruzioni.
1. Per inabilitare restore del sistema (Windows Me/XP)
Se state facendo funzionare Windows me o Windows.xp, suggeriamo che temporaneamente spegnete il restore del sistema. Windows Me/XP usa questa caratteristica, che è permessa per difetto, per ripristinare le lime sul vostro calcolatore nel caso sono danneggiate. Se un virus, una vite senza fine, o un Trojan infetta un calcolatore, il restore del sistema può sostenere il virus, la vite senza fine, o il Trojan sul calcolatore.
Windows impedisce i programmi esterni, compreso i programmi di antivirus, restore di modificazione del sistema. Di conseguenza, i programmi di antivirus o gli attrezzi non possono rimuovere le minacce nel dispositivo di piegatura di restore del sistema. Di conseguenza, il restore del sistema ha il potenziale di ripristino della lima infettata sul vostro calcolatore, anche dopo che avete liberato le lime infettate da tutte le altre posizioni.
Inoltre, un'esplorazione del virus può rilevare una minaccia nel dispositivo di piegatura di restore del sistema anche se avete rimosso la minaccia.
Per le istruzioni su come spegnere il restore del sistema, legga la vostra documentazione di Windows, o uno di seguenti articoli:
"come inabilitare o permettere Windows me restore del sistema"
"come spegnere o accendere restore del sistema di Windows.xp"
Nota: Quando completamente siete rifiniti con il metodo di rimozione e siete soddisfatti che la minaccia è stata rimossa, re-enable il restore del sistema tramite dopo le istruzioni nei documenti sopraccennati.
Per le informazioni supplementari e un'alternativa ad inabilitare Windows me restore del sistema, vedo l'articolo della base di conoscenza del Microsoft, "attrezzi di Antivirus non posso pulire le lime infettate _ nel dispositivo di piegatura di restore," identificazione dell'articolo: Q263455.
2. Per aggiornare le definizioni del virus
La risposta di sicurezza di Symantec completamente verifica tutte le definizioni del virus a garanzia della qualità prima che siano inviate ai nostri assistenti. Ci sono due sensi ottenere le definizioni del virus più recenti:
LiveUpdate funzionante, che è il senso più facile ottenere le definizioni del virus: Queste definizioni del virus sono inviate agli assistenti di LiveUpdate una volta che ogni settimana (solitamente al mercoledì), a meno che ci sia uno scoppio importante del virus. Per determinare se le definizioni per questa minaccia siano disponibili da LiveUpdate, riferiscasi alle definizioni del virus (LiveUpdate).
Trasferimento dal sistema centrale verso i satelliti delle definizioni dal sistema centrale verso i satelliti usando il Updater intelligente: Le definizioni intelligenti del virus di Updater sono inviate giornalmente. Dovreste trasferire le definizioni dal sistema centrale verso i satelliti dal Web site di risposta di sicurezza di Symantec ed installarli manualmente. Per determinare se le definizioni per questa minaccia siano disponibili dal Updater intelligente, riferiscasi alle definizioni del virus (Updater intelligente).
Le definizioni intelligenti del virus di Updater sono disponibili: Colto "come aggiornare la definizione del virus archivia usando il Updater intelligente" per le istruzioni dettagliate.
Nota: Se vedete un errore, quale LU1418, quando provate a fare funzionare LiveUpdate e non potete ottenere il Web site che ospitate il Updater intelligente, è probabile che la vite senza fine ha modificato la lima ospiti. Potete il uno o il altro trasferimento dal sistema centrale verso i satelliti ed installarli LiveUpdate 2.5, che può rimuovere le entrate di Symantec da quella lima, o possono pubblicarli voi stessi. Veda le istruzioni per entrambi "nella sezione delle informazioni supplementari" qui sotto.
3. Per esplorare per e cancellare le lime infettate
Inizi il vostro programma di antivirus di Symantec ed assicurisi che è configurato per esaminare tutte le lime.
Per i prodotti di consumatore di Norton AntiVirus: Legga il documento, "come configurare Norton AntiVirus per esaminare tutte le lime."
Per i prodotti di impresa di Symantec AntiVirus: Legga il documento, "come verificare che un prodotto corporativo di antivirus di Symantec è regolato per esaminare tutte le lime."
Faccia funzionare un'esplorazione completa del sistema.
Se delle lime sono rilevate come infettate con PWSteal.Bankash.A, cancellazione di scatto.
Nota: Se il vostro prodotto di antivirus di Symantec segnala che non può cancellare una lima infettata, Windows può usare la lima. Per riparare questo, faccia funzionare l'esplorazione nel modo sicuro. Per le istruzioni, legga il documento, "come avviare il calcolatore nel modo sicuro." Una volta che avete ricominciato nel modo sicuro, faccia funzionare ancora l'esplorazione.
Dopo che le lime siano cancellate, ricominci il calcolatore nel modo normale e procedi alla parte 4.
4. Per cancellare il valore dalla registrazione
Importante: Symantec suggerisce vivamente che sostenete la registrazione prima di farle qualsiasi cambiamenti. I cambiamenti errati alla registrazione possono provocare la perdita permanente di dati o lime corrotte. Modifichi i subkeys specificati soltanto. Legga il documento, "come fare un sostegno della registrazione di Windows," per le istruzioni.
Scatti L'Inizio > Funzionato.
Scriva il regedit a macchina
Allora scattisi BENE.
Traversi al subkey:
HKEY_CLASSES_ROOT\Interface\{17A45F93-AEC8-440B-AC33-1BA9CC3192AC}
Nella lastra di vetro di destra, cancelli il valore:
"(Difetto)" = "IIEHlprObj"
Traversi al subkey:
HKEY_CLASSES_ROOT\TypeLib\{D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F}\1.0
Nella lastra di vetro di destra, cancelli il valore:
"(Difetto)" = "COME 0.96 Tipi Biblioteca"
Traversi a e cancelli i seguenti subkeys:
HKEY_CLASSES_ROOT\CLSID\{C6176B04-8896-4446-9939-E00EE94C420F}
HKEY_CLASSES_ROOT\AntiSpy.AntiSpy
HKEY_CLASSES_ROOT\AntiSpy.AntiSpy.1
Rimuova il redattore di registrazione.
5. Per ripristinare la pagina di inizio del Internet Explorer
Inizi Il Microsoft Internet Explorer.
Colleghi al Internet ed allora vada alla pagina che desiderate regolare come la vostra pagina di inizio.
Scatti Gli Attrezzi > Le Opzioni Del Internet.
Nella sezione di Home Page della linguetta generale, scatti la corrente di uso > GIUSTO.
Le informazioni supplementari:
Rimuovendo le entrate dalla lima ospiti
Se questa minaccia ha modificato Windows ospita la lima, là è due sensi rimuovere queste entrate:
Installi e faccia funzionare la versione corrente di LiveUpdate. Ciò rimuoverà soltanto le entrate che si riferiscono ai dominii di Symantec.
Pubblichi manualmente gli ospiti archiviano e rimuovono tutte le entrate che la vite senza fine ha aggiunto.
Per fare funzionare la versione corrente di LiveUpdate
Trasferimento dal sistema centrale verso i satelliti LiveUpdate di scatto.
Nota: Se non state leggendo questo Web page sul calcolatore che sta ottenendo l'avviso di errore, l'indirizzo per il trasferimento dal sistema centrale verso i satelliti della lima dal sistema centrale verso i satelliti è:
ftp://ftp.symantec.com/public/english_us_canada/liveupdate/lusetup.exe
Se necessario, potete scrivere questo indirizzo a macchina nella barra di indirizzo del calcolatore di problema. I cambiamenti alla lima ospiti non li arresteranno dall'ottenere a questo luogo.
Risparmi la lima al tavolo di Windows.
Doppio-scatto l'icona di lusetup.exe sul tavolo per installare LiveUpdate.
Faccia funzionare LiveUpdate.
Avete visto il messaggio "LU1860: LiveUpdate ha rilevato un compromesso potenziale di sicurezza sul vostro calcolatore"?
Se, lasci LiveUpdate "rimuovere queste entrate dagli ospiti archivia" (suggerito).
Ciò dovrebbe permettere che LiveUpdate funzioni.
Se non, quella non era la causa del problema. Rinvii alla sezione di rimozione.
Per pubblicare manualmente gli ospiti archivi e rimuova tutte le entrate che la vite senza fine ha aggiunto
Nota: La posizione della lima ospiti può variare ed alcuni calcolatori non possono avere questa lima. Per esempio, se la lima esiste in Windows 98, sarà solitamente in C:\Windows; ed è situata nel dispositivo di piegatura di C:\WINNT\system32\drivers\etc in Windows 2000. Ci possono anche essere copie multiple di questa lima nelle posizioni differenti.
Segua le istruzioni per il vostro sistema operativo:
Windows 95/98/Me/NT/2000
Inizio di scatto, punto per trovare o cercareed allora per scattare le lime o i dispositivi di piegatura.
Assicurisi che "lo sguardo in" è regolato a (C:) e quello "include i subfolders" è controllato.
In "chiamato" o "nella ricerca..." della scatola, scriva:
ospiti
Ritrovamento di scatto ora o ricerca ora.
Per ogni lima ospiti che trovate, lo di destra-scatto la lima ed allora scatta aperto con.
Deselect sempre "uso il questo programma aprire casella di controllo di questo programma".
Rotolo attraverso la lista dei programmi e del notepad di doppio-scatto.
Quando la lima si apre, cancelli tutte le entrate aggiunte dalla minaccia.
Chiuda il notepad e risparmi i vostri cambiamenti una volta richiamato.
Windows.xp
Scatti L'Inizio > La Ricerca.
Scatti tutti i lime e dispositivi di piegatura.
"l'tutto o una parte nella scatola di nome di archivio", scrive:
ospiti
Verifichi che "lo sguardo in" è regolato "agli azionamenti duri locali" o a (C:).
Opzioni più avanzate di scatto.
Controlli i dispositivi di piegatura del sistema di ricerca.
Controlli i subfolders di ricerca.
Scatti La Ricerca.
Ora scatti il ritrovamento o cerchi ora.
Per l'ogni gli ospiti archiviano che trovate, di destra-scatto la lima ed allora scattate aperto con.
Deselect sempre l'uso questo programma aprire questa casella di controllo di programma.
Rotolo attraverso la lista dei programmi e del notepad di doppio-scatto.
Quando la lima si apre, cancelli tutte le entrate aggiunte dalla minaccia.
Chiuda il notepad e risparmi i vostri cambiamenti una volta richiamato.