• Domingo 22 de Diciembre de 2024, 23:23

Autor Tema:  Banker.jv  (Leído 1673 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Banker.jv
« en: Miércoles 16 de Febrero de 2005, 23:54 »
0
Información extraida de Enciclopedia Virus
VIRUS:     WIN32/SPY.BANKER.JV
descripción    
nombre:    Win32/Spy.Banker.JV
aliases:    Banker.JV, Spy.Banker.JV, Trojan-Spy.Win32.Banker.jv, Trojan.PWS.EBank, Troj/BankAsh-A, TrojanSpy:Win32/Banker.JV.dll, TROJ_SPYBANK.A, TR/Spy.Banker.AU, PSW.Banker.14.H, Trojan.PWS.Bancos.T, Trj/Banker.CB, Win32/Spy.Banker.JV, Troj/Spy.Banker.JV
  tipo:    Troyano
  fecha:    16/02/2005
  gravedad general: Alta
  distribución: Media
  daño:Alto
  tamaño: 163,840 Bytes
  destructivo: Si
  origen: Desconocido
  nombre asignado por:    ESET

 >     INFORMACION
   Troyano residente en memoria, que puede ser liberado por otro troyano en el sistema. Intenta finalizary borrar la aplicación "Microsoft Windows AntiSpyware" si esta se encuentra instalada en el equipo.

 >     CARACTERISTICAS
   

Cuando el troyano se ejecuta libera otro troyano, en este caso se trata del Win32/TrojanDownloader.Small.AIN, el nombre de archivo liberado es el siguiente:

  C:\Windows\System32\ASH.DLL

También puede ser descargado por el usuario desde Internet, pensando que se trata de una utilidad legítima.

El troyano "Small.AIN" registra el DLL de "Banker.JV" como un objeto BHO (Browser Helper Object).

Para ello, crea las siguientes entradas en el registro:

  HKCR\CLSID\{C6176B04-8896-4446-9939-E00EE94C420F}
  HKCR\AntiSpy.AntiSpy
  HKCR\AntiSpy.AntiSpy.1

El "DLL" se registra como una interfase llamada "IIEHlprObj" (Interface), y como un tipo de biblioteca llamada "AS 0.96 Type Library" (TypeLib):

  HKCR\Interface\{17A45F93-AEC8-440B-AC33-1BA9CC3192AC}
  HKCR\TypeLib\{D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F}

Modifica la página de inicio del Internet Explorer, para ello crea las siguientes entradas:

  HKCU\Software\Microsoft\Internet Explorer\Main
  Start Page = about:blank

  HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
  Start Page = about:blank

El troyano intenta desregistrar y borrar el "DLL" llamado "IEHELPER.DLL", el cual pertenece a Windows.

Después de ejecutarse el troyano busca si la aplicación  "Microsoft Windows AntiSpyware" se encuentra instalada en el sistema. Si la encuentra, intenta finalizarla y borrar todos los archivos relacionados con dicha aplicación.

Para ello, finaliza los siguientes procesos:

  gcascleaner
  gcasdtserv
  gcasinstallhelper
  gcasnotice
  gcasserv
  gcasservalert
  gcasswupdater
  gciptohostqueue
  giantantispywaremain
  giantantispywareupdater

"Microsoft Windows AntiSpyware" se instala por defecto en la carpeta "C:\Archivos de programa\Microsoft Antispyware". Los archivos dentro de esaa carpeta también son borrados por el troyano.

También remueve la clave "GcasServ" del registro que "Microsoft Windows AntiSpyware" utiliza para ejecutarse en cada reinicio del sistema:

  HKLM\Software\Microsoft\Windows
  \CurrentVersion\Run
  GcasServ =
  c:\archivos de programa
  \Microsoft AnttiSpyware\gcasServ.exe

El troyano intenta robar información relacionada con las transacciones comerciales y bancarias del usuario infectado. Para ello monitorea las transacciones cuando éste ingresa a cualquiera de estos sitios de banca on-line (esto incluye bancos como Barclays, Cahoot, Halifax, HSBC, Lloyds TSB, Nationwide, NatWest, Smile, etc.):

  https:/ /ibank .barclays .co .uk
  https:/ /ibank .cahoot .com
  https:/ /olb2 .nationet .com
  https:/ /online .lloydstsb .co .uk
  https:/ /www .bankofscotlandhalifax-online .co .uk
  https:/ /www .ebank .hsbc .co .uk
  https:/ /www .ebank .hsbc .co .uk
  https:/ /www .millenniumbcp .pt
  https:/ /www .ukpersonal .hsbc .com

Cuando ello ocurre, el troyano muestra una página HTML falsa, para engañar al usuario, que creyendo estar en el sitio verdadero, ingresa la información relacionada con sus cuentas bancarias, etc. Luego genera los siguientes archivos en la carpeta de Windows, para almacenar la información robada:

  C:\Windows\Email.log
  C:\Windows\Pass.log
  C:\Windows\Req.log

La información obtenida, es luego enviada a un servidor FTP remoto.

Agrega las siguientes cadenas al archivo HOSTS, algunas de ellas para que no se pueda acceder a determinados sitios desde una máquina infectada:

  .ac.at
  .ac.nz
  .ac.uk
  .at/
  .de/
  .edu
  .o2.co.uk
  .sok
  .ust.hk
  012.net
  acadiau.ca
  adaptec.com
  adultfriendfinder.com
  advisor.com
  ains.com.au
  aircanada.ca
  a-net.com
  apple.com
  ariba.com
  authorize.net
  ba-ca.com
  banking.bawag.com
  bearshare.com
  betbanking.com
  bigpond.net.au
  billerweb.com
  bnpparibas.net
  c1hrapps.com
  cablebg.net
  campoints.net
  canon-europe.com
  carleton.ca
  cic.gc.ca
  comcast.net
  cometsystems.com
  customersvc.com
  datasvit.net
  delawarenorth.com
  delias.com
  deluxepass.com
  dell
  directnic.com
  directsex.com
  douglas.bc.ca
  earthport.com
  ebankas.vb.lt
  ebay
  ecompanystore.com
  elance.com
  element5.com
  elsevier
  emetrix.com
  e-registernow.com
  esdlife.com
  europeonline.com
  eutelsat.net
  ezpeer.com
  farlep.net
  flextronics.com
  fredericks.com
  freedom.net
  game
  gevalia.com
  gigaisp.net
  go-fia.com
  guidehome.com
  hilton.com
  hku.hk
  hkuspace.org
  hostdozy.com
  hotbar.com
  hp.com
  https
  https://
  ibm.com
  icq.com
  idx.com.au
  ihost.com
  iinet.net.au
  imrworldwide.com
  indigosp.com
  infusion-studios.com
  ingrammicro.com
  inlandrevenue.gov.uk
  intel.com
  intuitcanada.com
  iprimus.com.au
  kent.net
  konetic.org
  kundenserver.de
  lanck.net
  liveperson.net
  lkw-walter.com
  look.ca
  macau.ctm.net
  maximonline.com
  mcafee.com
  mcgill.ca
  mcmaster.ca
  medibank.com.au
  mgm-mirage.com
  microsoft.com
  monster.com
  mouse2mobile.com
  music
  mysylvan.com
  nacelink.com
  netbilling.com
  netfirms.com
  netspeed.com.au
  nike.com.hk
  northeast.on.ca
  novuslink.net
  nwa.com
  nzqa.govt.nz
  o2online.de
  oberon-media.com
  onba.zkb.ch
  onlineaccess.net
  optusnet.com.au
  opusit.com.sg
  orcon.net
  ordering.co.uk
  oztralia.com
  playstation.com
  preschoicefinancial.com
  prudential.com.hk
  puma.com
  queensu.ca
  quickbooks.com
  raiffeisendirect.
  rba.hr
  recruitsoft.com
  register.com
  reuters.com
  rogers.com
  safeform.com
  safesite.com
  salesforce.com
  sammikk.com
  samsunggsbn.com
  sap-ag.de
  sbc.com
  s-central.com.au
  sciamdigital.com
  scicollege.org.sg
  searchfit.org
  seatbooker.net
  sebra.com
  securecart.net
  secureordering.com
  secureserver.net
  securewebexchange.com
  securitymetrics.com
  selfmgmt.com
  senecac.on.ca
  sephora.com
  serviticket.com
  sfa.prudential.com.sg
  sfgov.org
  shaw.ca
  sheridanc.on.ca
  shkcorpws5.shkp.com
  shopadmin.daum.net
  shoppersoptimum.ca
  shopundco.com
  shutterfly.com
  sierraclub.org
  signup.sprint.ca
  silicon-power.com
  simplyhotels.com
  sims.sfu.ca
  singaporeair.com
  singnet.com.sg
  site-secure.com
  sms.ac
  snapfish.com
  soccer.com
  solo3.nordea.fi
  sony
  soundclick.com
  sparkart.com
  sparknotes.com
  speedera.net
  spiritair.com
  sportingbet.com
  sportodds.com
  sqnet.com.sg
  srp.org.sg
  ssdcl.com.sg
  stanfordalumni.org
  starbiz.net.sg
  starhubshop.com.sg
  streamload.com
  supergo.com
  swamp.lan
  sympatico.ca
  tatrabanka.sk
  tbihosting.com
  tdcwww.net
  techdata.com
  telpacific.com.au
  telstra.com
  telusmobility.com
  tepore.com
  theaa.com
  there.com
  thewheelconnection.com
  three.com.hk
  ti.com
  ticketmaster.com
  tickle.com
  tirerack.com
  tm.net.my
  tmi-wwa.com
  t-mobile.co.uk
  t-mobile.com
  towerhobbies.com
  travel.com.au
  travel.priceline.com
  travelclub.swiss.com
  travelcommunications.co.uk
  trekblue.com
  trivita.com
  trust1.com
  trustinternational.com
  tsn.cc
  ubc.ca
  ubi.com
  ucas.co.uk
  ultrastar.com
  unb.ca
  united.intranet.ual.com
  unixcore.com
  uoguelph.ca
  uottawa.ca
  upjs.sk
  ups.com
  usafis.org
  uscden.net
  uscitizenship.info
  uwaterloo.ca
  uwindsor.ca
  va-bank.com
  vandyke.com
  vasa.slsp.sk
  veloz.com
  victoriassecret.com
  videotron.com
  virginblue.com.au
  virginmobileusa.com
  vodafone
  vodafone.co.uk
  vpost.com.sg
  vutbr.cz
  w2express.com
  walgreens.com
  watchguard.com
  webassign.net
  webeweb.net
  webtrendslive.com
  webzdarma.cz
  western-inventory.com
  willhill.com
  wn.com.au
  worldgaming.net
  worldwinner.com
  worth1000.com
  wrem.sis.yorku.ca
  xs4all.nl
  xtra.co.nz
  yagma.com
  ych.com
  yes.com.hk
  yesasia.com
  yimg.com
  yorku.ca
  yourastrologysite.com
  ytv.com
  zoovy.com
  zwallet.com

El troyano también recolecta todas las direcciones de correo electrónico que se pueden encontrar en el equipo. La lista de las direcciones obtenidas es guardada en el archivo "EMAIL.LOG".

Las direcciones son buscadas en documentos con las siguientes extensiones:

  .htm
  .txt

 

 >     INSTRUCCIONES PARA ELIMINARLO
   

1. Cierre el Internet Explorer y cualquier otra ventanas abierta

2. Desde Inicio, Ejecutar, escriba lo siguiente (más Enter):

  regsvr32  /u  ASH.DLL

3. Se puede abrir una ventana del Internet Explorer. Si es así ciérrela.

4. Reinicie en Modo a prueba de fallos.

5. Ejecute un antivirus actualizado y elimine los archivos infectados.

6. Busque y elimine los siguientes archivos:

  C:\Windows\Email.log
  C:\Windows\Pass.log
  C:\Windows\Req.log
  C:\Windows\System32\ASH.DLL

7. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

8. Busque la siguiente clave del registro:

  HKCR\AntiSpy.AntiSpy

9. Elimine la siguiente clave:

  AntiSpy.AntiSpy

10. Busque la siguiente clave del registro:

  HKCR\AntiSpy.AntiSpy.1

11. Elimine la siguiente clave:

  AntiSpy.AntiSpy.1

12. Busque la siguiente clave del registro:

  HKCR\CLSID\{C6176B04-8896-4446-9939-E00EE94C420F}

13. Elimine la siguiente clave:

  {C6176B04-8896-4446-9939-E00EE94C420F}

14. Busque la siguiente clave del registro:

  HKCR\Interface\{17A45F93-AEC8-440B-AC33-1BA9CC3192AC}

15. Elimine la siguiente clave:

  {17A45F93-AEC8-440B-AC33-1BA9CC3192AC}

16. Busque la siguiente clave del registro:
 
  HKCR\TypeLib\{D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F}

17. Elimine la siguiente clave:

  {D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F}

18. Cierre el editor del Registro del sistema.

19. Reinicie el equipo.

20. Cierre todas las ventanas del Internet Explorer abiertas

21. Seleccione "Mi PC", "Panel de control".

22. Haga clic en el icono "Opciones de Internet".

23. Seleccione la lengüeta "Programas".

24. Haga clic en el botón "Restablecer configuración Web"

25. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.

26. Haga clic en "Aceptar".

27. Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual".


28. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

  c:\windows\
  c:\windows\system32\drivers\etc\
  c:\winnt\system32\drivers\etc\

29. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

30. Borre todas las líneas que comiencen con un número, salvo las siguientes:

  127.0.0.1     localhost

31. Acepte guardar los cambios al salir del bloc de notas.

32. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información.


* Restaurar Microsoft Windows AntiSpyware

Cómo el troyano elimina dicho programa, si usted lo utiliza debe volver a reinstalarlo desde el siguiente enlace:

  Microsoft Windows AntiSpyware
http://www.microsoft.com/athome/security/s...re/default.mspx
El pasado son solo recuerdos, el futuro son solo sueños