Troj/Loath. Redirecciona a sitios bancarios falsos

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 896 - Año 7 - Viernes 20 de diciembre de 2002

Troj/Loath. Redirecciona a sitios bancarios falsos
http://www.vsantivirus.com/loath.htm

Nombre: Troj/Loath
Tipo: Caballo de Troya
Alias: Win32.Loath, W32/Loath
Plataforma: Windows NT, 2000, XP
Fecha: 20/dic/02

Este troyano redirecciona páginas de instituciones bancarias, en este caso brasileras, con la supuesta intención de robar información confidencial del usuario infectado.

El troyano ha sido reportado como enviado masivamente en un mensaje que simula ser una actualización de seguridad de Microsoft, con un adjunto llamado "patch_2002.exe".

Sin embargo, esta acción debió hacerse en forma manual, ya que el troyano no posee ninguna capacidad de autoenviarse. Esto significa además, que podría ser enviado con cualquier otro nombre y simulando cualquier utilidad, en forma premeditada para engañar a su víctima.

Cuando se ejecuta, se copia a si mismo en una de las siguientes ubicaciones (según el sistema operativo, Windows NT, 2000 o XP):

c:\windows\system32\tctrl.exe
c:\winnt\system32\tctrl.exe

El troyano crea también la siguiente entrada en el registro, para ejecutarse cada vez que Windows se reinicia:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinSec = c:\windows\system32\tctrl.exe

Cuando se ejecuta, muestra una pantalla de instalación completa (con barra de progreso, etc.) que simula instalar algo.

Mientras muestra esto (que es falso), el troyano intenta modificar el archivo HOSTS, ubicado en alguno de estos lugares según se trate de Windows NT, 2000 o XP:

c:\windows\system32\drivers\etc\hosts
c:\winnt\system32\drivers\etc\hosts

En Windows 95, 98 y Me la ubicación de HOSTS es diferente.

Si no existen, se muestra un mensaje de error con el siguiente texto:

Microsoft (r)
Invalid filename
[ OK ]

El archivo HOSTS es el primer lugar consultado por el sistema operativo a la hora de resolver un nombre de dominio, antes que hacerlo en una máquina DNS.

Por ejemplo, si en ese archivo existiera algo así (las xxx representan números de una dirección IP):

www.nombre.com xxx.xxx.xxx.xxx

Entonces, cuando tecleamos www.nombre.com en el explorador, la computadora intentaría conectarse a la dirección IP xxx.xxx.xxx.xxx, lo que resulta en un acceso más rápido (se evita el paso de consultar la dirección IP). Por supuesto, esto no es práctico para usarlo con todos los sitios de Internet visitados.

El troyano saca provecho de esta habilidad para agregar allí direcciones falsas de diversas instituciones bancarias, haciéndolas apuntar a otros sitios que debido a su apariencia idéntica, simulan ser los verdaderos. Presumiblemente estos sitios falsos sean mantenidos por el autor.

En esta versión del troyano, estos son los dominios redireccionados (todos corresponden a sucursales bancarias brasileñas, que ya han sido avisadas):

www.bb.com.br
bb.com.br
www.itau.com.br
itau.com.br
www.hsbc.com.br
hsbc.com.br
www.bradesco.com.br
bradesco.com.br
www.caixa.gov.br
caixa.gov.br

Cada par de estas cinco instituciones, es redireccionada a diferentes direcciones IP, donde existen sitios idénticos a los verdaderos.

Para limpiar un sistema infectado, borre el archivo del troyano, y quite las referencias mencionadas en el archivo HOSTS (no tiene extensión), editándolo por ejemplo, con el bloc de notas. Al grabar los cambios, asegúrese de que no se agregue una extensión al nombre (no ocurrirá a no ser que seleccione "Grabar como...").

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com