A Bankash.F trójai program legfőbb feladata, hogy különböző felhasználóneveket és jelszavakat szerezzen meg a fertőzött számítógépekről.
A Bankash.F trójai meglehetősen komoly veszélyt jelent a számítógépeken tárolt adatokra. A trójai ugyanis többféle módszerrel, többféle adat megszerzésére alkalmas. A Bankash.F folyamatosan naplózza a billentyűleütéseket, összegyűjti az email címeket és figyeli a webes kommunikációt. Emellett egyes esetekben még a tűzfalak “megkerülésére” is képes.
Amikor a Bankash.F elindul, akkor az alábbi műveleteket hajtja végre:
1. A Windows könyvtárába létrehoz egy rfa.dll állományt.
2. Létrehozza a következő fájlokat:
%Windir%\html.log
%Windir%\email.log
%Windir%\pass.log
%Windir%\\\eq.log
3. A regisztrációs adatbázisba létrehozza az alábbi bejegyzéseket:
HKEY_CLASS_ROOT\CLSID\{811ABD55-9D94-4892-AB46-11D7DA29B8AE }
HKEY_CLASS_ROOT\TypeLib\{A49460C9-D134-4C21-BF35-EDD17D477D C8}
HKEY_CLASS_ROOT\Interface\{5D463D75-B21F-4D6A-AF92-CC0EC2CB F25F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Explorer\Browser Helper Objects\{811ABD55-9D94-4892-AB46-11D7DA29B8AE}
HKEY_CLASS_ROOT\RFA.RFA
HKEY_CLASS_ROOT\RFA.RFA.1
4. Folyamatosan figyeli a tűzfalak által küldött figyelmeztetéseket, és azokat megpróbálja elrejteni a felhasználó elől, majd engedélyezni a kapcsolatokat.
Azon tűzfal üzeneteket figyeli, amelyek az alábbi szövegek valamelyikét tartalmazzák:
Warning: some components changed
Warning: Components Have ChangedAre you sure you want to navigate away from this page?
Static
Microsoft Internet Explorer
Create rule for %s
5. Különböző kiterjesztésű fájlokban email címeket keres, amelyeket eltárol a %Windir%\email.log fájlban.
6. A helyileg elmentett jelszavakat bemásolja a %Windir%\pass.log állományba.
7. Naplózza a billentyűleütéseket, amelyeket elment a %Windir%\html.log fájlba.
8. A HTTP GET kéréseket eltárolja a %Windir%\\\eq.log állományban.
9. Interneten keresztül meghatározott időközönként frissíti önmagát.
Amikor a Bankash.F elindul, akkor az alábbi műveleteket hajtja végre:
1. A Windows könyvtárába létrehoz egy rfa.dll állományt.
2. Létrehozza a következő fájlokat:
%Windir%\html.log
%Windir%\email.log
%Windir%\pass.log
%Windir%\\\eq.log
3. A regisztrációs adatbázisba létrehozza az alábbi bejegyzéseket:
HKEY_CLASS_ROOT\CLSID\{811ABD55-9D94-4892-AB46-11D7DA29B8AE }
HKEY_CLASS_ROOT\TypeLib\{A49460C9-D134-4C21-BF35-EDD17D477D C8}
HKEY_CLASS_ROOT\Interface\{5D463D75-B21F-4D6A-AF92-CC0EC2CB F25F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Explorer\Browser Helper Objects\{811ABD55-9D94-4892-AB46-11D7DA29B8AE}
HKEY_CLASS_ROOT\RFA.RFA
HKEY_CLASS_ROOT\RFA.RFA.1
4. Folyamatosan figyeli a tűzfalak által küldött figyelmeztetéseket, és azokat megpróbálja elrejteni a felhasználó elől, majd engedélyezni a kapcsolatokat.
Azon tűzfal üzeneteket figyeli, amelyek az alábbi szövegek valamelyikét tartalmazzák:
Warning: some components changed
Warning: Components Have ChangedAre you sure you want to navigate away from this page?
Static
Microsoft Internet Explorer
Create rule for %s
5. Különböző kiterjesztésű fájlokban email címeket keres, amelyeket eltárol a %Windir%\email.log fájlban.
6. A helyileg elmentett jelszavakat bemásolja a %Windir%\pass.log állományba.
7. Naplózza a billentyűleütéseket, amelyeket elment a %Windir%\html.log fájlba.
8. A HTTP GET kéréseket eltárolja a %Windir%\\\eq.log állományban.
9. Interneten keresztül meghatározott időközönként frissíti önmagát.