SoloCodigo
Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Miércoles 16 de Febrero de 2005, 23:54
-
Información extraida de Enciclopedia Virus (http://www.enciclopediavirus.com/virus/vervirus.php?id=1727)
VIRUS: WIN32/SPY.BANKER.JV
descripción
nombre: Win32/Spy.Banker.JV
aliases: Banker.JV, Spy.Banker.JV, Trojan-Spy.Win32.Banker.jv, Trojan.PWS.EBank, Troj/BankAsh-A, TrojanSpy:Win32/Banker.JV.dll, TROJ_SPYBANK.A, TR/Spy.Banker.AU, PSW.Banker.14.H, Trojan.PWS.Bancos.T, Trj/Banker.CB, Win32/Spy.Banker.JV, Troj/Spy.Banker.JV
tipo: Troyano
fecha: 16/02/2005
gravedad general: Alta
distribución: Media
daño:Alto
tamaño: 163,840 Bytes
destructivo: Si
origen: Desconocido
nombre asignado por: ESET
> INFORMACION
Troyano residente en memoria, que puede ser liberado por otro troyano en el sistema. Intenta finalizary borrar la aplicación "Microsoft Windows AntiSpyware" si esta se encuentra instalada en el equipo.
> CARACTERISTICAS
Cuando el troyano se ejecuta libera otro troyano, en este caso se trata del Win32/TrojanDownloader.Small.AIN, el nombre de archivo liberado es el siguiente:
C:\Windows\System32\ASH.DLL
También puede ser descargado por el usuario desde Internet, pensando que se trata de una utilidad legítima.
El troyano "Small.AIN" registra el DLL de "Banker.JV" como un objeto BHO (Browser Helper Object).
Para ello, crea las siguientes entradas en el registro:
HKCR\CLSID\{C6176B04-8896-4446-9939-E00EE94C420F}
HKCR\AntiSpy.AntiSpy
HKCR\AntiSpy.AntiSpy.1
El "DLL" se registra como una interfase llamada "IIEHlprObj" (Interface), y como un tipo de biblioteca llamada "AS 0.96 Type Library" (TypeLib):
HKCR\Interface\{17A45F93-AEC8-440B-AC33-1BA9CC3192AC}
HKCR\TypeLib\{D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F}
Modifica la página de inicio del Internet Explorer, para ello crea las siguientes entradas:
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = about:blank
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
Start Page = about:blank
El troyano intenta desregistrar y borrar el "DLL" llamado "IEHELPER.DLL", el cual pertenece a Windows.
Después de ejecutarse el troyano busca si la aplicación "Microsoft Windows AntiSpyware" se encuentra instalada en el sistema. Si la encuentra, intenta finalizarla y borrar todos los archivos relacionados con dicha aplicación.
Para ello, finaliza los siguientes procesos:
gcascleaner
gcasdtserv
gcasinstallhelper
gcasnotice
gcasserv
gcasservalert
gcasswupdater
gciptohostqueue
giantantispywaremain
giantantispywareupdater
"Microsoft Windows AntiSpyware" se instala por defecto en la carpeta "C:\Archivos de programa\Microsoft Antispyware". Los archivos dentro de esaa carpeta también son borrados por el troyano.
También remueve la clave "GcasServ" del registro que "Microsoft Windows AntiSpyware" utiliza para ejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
GcasServ =
c:\archivos de programa
\Microsoft AnttiSpyware\gcasServ.exe
El troyano intenta robar información relacionada con las transacciones comerciales y bancarias del usuario infectado. Para ello monitorea las transacciones cuando éste ingresa a cualquiera de estos sitios de banca on-line (esto incluye bancos como Barclays, Cahoot, Halifax, HSBC, Lloyds TSB, Nationwide, NatWest, Smile, etc.):
https:/ /ibank .barclays .co .uk
https:/ /ibank .cahoot .com
https:/ /olb2 .nationet .com
https:/ /online .lloydstsb .co .uk
https:/ /www .bankofscotlandhalifax-online .co .uk
https:/ /www .ebank .hsbc .co .uk
https:/ /www .ebank .hsbc .co .uk
https:/ /www .millenniumbcp .pt
https:/ /www .ukpersonal .hsbc .com
Cuando ello ocurre, el troyano muestra una página HTML falsa, para engañar al usuario, que creyendo estar en el sitio verdadero, ingresa la información relacionada con sus cuentas bancarias, etc. Luego genera los siguientes archivos en la carpeta de Windows, para almacenar la información robada:
C:\Windows\Email.log
C:\Windows\Pass.log
C:\Windows\Req.log
La información obtenida, es luego enviada a un servidor FTP remoto.
Agrega las siguientes cadenas al archivo HOSTS, algunas de ellas para que no se pueda acceder a determinados sitios desde una máquina infectada:
.ac.at
.ac.nz
.ac.uk
.at/
.de/
.edu
.o2.co.uk
.sok
.ust.hk
012.net
acadiau.ca
adaptec.com
adultfriendfinder.com
advisor.com
ains.com.au
aircanada.ca
a-net.com
apple.com
ariba.com
authorize.net
ba-ca.com
banking.bawag.com
bearshare.com
betbanking.com
bigpond.net.au
billerweb.com
bnpparibas.net
c1hrapps.com
cablebg.net
campoints.net
canon-europe.com
carleton.ca
cic.gc.ca
comcast.net
cometsystems.com
customersvc.com
datasvit.net
delawarenorth.com
delias.com
deluxepass.com
dell
directnic.com
directsex.com
douglas.bc.ca
earthport.com
ebankas.vb.lt
ebay
ecompanystore.com
elance.com
element5.com
elsevier
emetrix.com
e-registernow.com
esdlife.com
europeonline.com
eutelsat.net
ezpeer.com
farlep.net
flextronics.com
fredericks.com
freedom.net
game
gevalia.com
gigaisp.net
go-fia.com
guidehome.com
hilton.com
hku.hk
hkuspace.org
hostdozy.com
hotbar.com
hp.com
https
https://
ibm.com
icq.com
idx.com.au
ihost.com
iinet.net.au
imrworldwide.com
indigosp.com
infusion-studios.com
ingrammicro.com
inlandrevenue.gov.uk
intel.com
intuitcanada.com
iprimus.com.au
kent.net
konetic.org
kundenserver.de
lanck.net
liveperson.net
lkw-walter.com
look.ca
macau.ctm.net
maximonline.com
mcafee.com
mcgill.ca
mcmaster.ca
medibank.com.au
mgm-mirage.com
microsoft.com
monster.com
mouse2mobile.com
music
mysylvan.com
nacelink.com
netbilling.com
netfirms.com
netspeed.com.au
nike.com.hk
northeast.on.ca
novuslink.net
nwa.com
nzqa.govt.nz
o2online.de
oberon-media.com
onba.zkb.ch
onlineaccess.net
optusnet.com.au
opusit.com.sg
orcon.net
ordering.co.uk
oztralia.com
playstation.com
preschoicefinancial.com
prudential.com.hk
puma.com
queensu.ca
quickbooks.com
raiffeisendirect.
rba.hr
recruitsoft.com
register.com
reuters.com
rogers.com
safeform.com
safesite.com
salesforce.com
sammikk.com
samsunggsbn.com
sap-ag.de
sbc.com
s-central.com.au
sciamdigital.com
scicollege.org.sg
searchfit.org
seatbooker.net
sebra.com
securecart.net
secureordering.com
secureserver.net
securewebexchange.com
securitymetrics.com
selfmgmt.com
senecac.on.ca
sephora.com
serviticket.com
sfa.prudential.com.sg
sfgov.org
shaw.ca
sheridanc.on.ca
shkcorpws5.shkp.com
shopadmin.daum.net
shoppersoptimum.ca
shopundco.com
shutterfly.com
sierraclub.org
signup.sprint.ca
silicon-power.com
simplyhotels.com
sims.sfu.ca
singaporeair.com
singnet.com.sg
site-secure.com
sms.ac
snapfish.com
soccer.com
solo3.nordea.fi
sony
soundclick.com
sparkart.com
sparknotes.com
speedera.net
spiritair.com
sportingbet.com
sportodds.com
sqnet.com.sg
srp.org.sg
ssdcl.com.sg
stanfordalumni.org
starbiz.net.sg
starhubshop.com.sg
streamload.com
supergo.com
swamp.lan
sympatico.ca
tatrabanka.sk
tbihosting.com
tdcwww.net
techdata.com
telpacific.com.au
telstra.com
telusmobility.com
tepore.com
theaa.com
there.com
thewheelconnection.com
three.com.hk
ti.com
ticketmaster.com
tickle.com
tirerack.com
tm.net.my
tmi-wwa.com
t-mobile.co.uk
t-mobile.com
towerhobbies.com
travel.com.au
travel.priceline.com
travelclub.swiss.com
travelcommunications.co.uk
trekblue.com
trivita.com
trust1.com
trustinternational.com
tsn.cc
ubc.ca
ubi.com
ucas.co.uk
ultrastar.com
unb.ca
united.intranet.ual.com
unixcore.com
uoguelph.ca
uottawa.ca
upjs.sk
ups.com
usafis.org
uscden.net
uscitizenship.info
uwaterloo.ca
uwindsor.ca
va-bank.com
vandyke.com
vasa.slsp.sk
veloz.com
victoriassecret.com
videotron.com
virginblue.com.au
virginmobileusa.com
vodafone
vodafone.co.uk
vpost.com.sg
vutbr.cz
w2express.com
walgreens.com
watchguard.com
webassign.net
webeweb.net
webtrendslive.com
webzdarma.cz
western-inventory.com
willhill.com
wn.com.au
worldgaming.net
worldwinner.com
worth1000.com
wrem.sis.yorku.ca
xs4all.nl
xtra.co.nz
yagma.com
ych.com
yes.com.hk
yesasia.com
yimg.com
yorku.ca
yourastrologysite.com
ytv.com
zoovy.com
zwallet.com
El troyano también recolecta todas las direcciones de correo electrónico que se pueden encontrar en el equipo. La lista de las direcciones obtenidas es guardada en el archivo "EMAIL.LOG".
Las direcciones son buscadas en documentos con las siguientes extensiones:
.htm
.txt
> INSTRUCCIONES PARA ELIMINARLO
1. Cierre el Internet Explorer y cualquier otra ventanas abierta
2. Desde Inicio, Ejecutar, escriba lo siguiente (más Enter):
regsvr32 /u ASH.DLL
3. Se puede abrir una ventana del Internet Explorer. Si es así ciérrela.
4. Reinicie en Modo a prueba de fallos.
5. Ejecute un antivirus actualizado y elimine los archivos infectados.
6. Busque y elimine los siguientes archivos:
C:\Windows\Email.log
C:\Windows\Pass.log
C:\Windows\Req.log
C:\Windows\System32\ASH.DLL
7. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
8. Busque la siguiente clave del registro:
HKCR\AntiSpy.AntiSpy
9. Elimine la siguiente clave:
AntiSpy.AntiSpy
10. Busque la siguiente clave del registro:
HKCR\AntiSpy.AntiSpy.1
11. Elimine la siguiente clave:
AntiSpy.AntiSpy.1
12. Busque la siguiente clave del registro:
HKCR\CLSID\{C6176B04-8896-4446-9939-E00EE94C420F}
13. Elimine la siguiente clave:
{C6176B04-8896-4446-9939-E00EE94C420F}
14. Busque la siguiente clave del registro:
HKCR\Interface\{17A45F93-AEC8-440B-AC33-1BA9CC3192AC}
15. Elimine la siguiente clave:
{17A45F93-AEC8-440B-AC33-1BA9CC3192AC}
16. Busque la siguiente clave del registro:
HKCR\TypeLib\{D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F}
17. Elimine la siguiente clave:
{D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F}
18. Cierre el editor del Registro del sistema.
19. Reinicie el equipo.
20. Cierre todas las ventanas del Internet Explorer abiertas
21. Seleccione "Mi PC", "Panel de control".
22. Haga clic en el icono "Opciones de Internet".
23. Seleccione la lengüeta "Programas".
24. Haga clic en el botón "Restablecer configuración Web"
25. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.
26. Haga clic en "Aceptar".
27. Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual".
28. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
29. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".
30. Borre todas las líneas que comiencen con un número, salvo las siguientes:
127.0.0.1 localhost
31. Acepte guardar los cambios al salir del bloc de notas.
32. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información.
* Restaurar Microsoft Windows AntiSpyware
Cómo el troyano elimina dicho programa, si usted lo utiliza debe volver a reinstalarlo desde el siguiente enlace:
Microsoft Windows AntiSpyware
http://www.microsoft.com/athome/security/s...re/default.mspx (http://www.microsoft.com/athome/security/spyware/software/default.mspx)