| |
VSantivirus No. 780 - Año 6 - Martes 27 de agosto de 2002
Troj/Mite.A. Roba datos de usuarios de Banco
do Brasil
http://www.vsantivirus.com/mite-a.htm
Nombre: Troj/Mite.A
Tipo: Caballo de Troya (keylogger)
Alias: TROJ_MITE.A
Fecha: 23/ago/02
Plataforma: Windows 32-bits
Tamaño: 444.416 bytes, 728,064 bytes
Fuente: TrendMicro
Este troyano captura lo tecleado por la víctima en el sistema
infectado, y lo envía en un mensaje al autor del mismo. Se
presenta como un software legítimo de una importante institución
bancaria brasileña (Banco do Brasil).
De acuerdo a InfoGuerra (ver Referencias), el caballo de
Troya fue enviado la semana pasada a numerosos clientes de este
banco, en un mensaje con formato HTML que incluye el logo de la
institución, y un adjunto de nombre BBinternet.exe de
444.416 bytes:
De: servico@bb.com.br
Asunto:
BB Internet Banking a tecnologica digital a seu servico
Texto:
BANCO DO BRASIL
BB Internet Banking
O banco do Brasil está oferecendo aos seus clientes o
BB Internet Banking de acesso gratuito* à Internet. Que
facilita voce realizar suas movimentacoes bancárias mas
seguras através do Internet Banking com total seguranca.
Nao perca tempo. Instale o arquivo en anexo su faca
download e tenha total seguranca durante suas
movimentacoes bancarias.
Download BB Internet Banking
Datos adjuntos: BBInternet.exe (445 KB)
El troyano simula ser enviado desde una
dirección electrónica del banco (servico@bb.com.br), pero en sus
propiedades puede encontrarse bbserv@uol.com.br.
El archivo también podía ser descargado del enlace a un sitio en
Internet que ya fue dado de baja, a través del enlace ‘Download
BB Internet Banking’ en el mensaje.
Bautizado como Troj_Mite.A por TrendMicro, cuando este
troyano se ejecuta, el mismo se instala en el sistema, simulando
ser el software del banco, usado para acceder a las cuentas del
mismo vía Internet.
El troyano crea un archivo DOSPRMT.EXE y otro
TTWAIN.DLL, en el directorio System de Windows. También crea
allí un archivo LISTA.LOG, donde guarda lo tecleado en la
computadora infectada.
También libera un archivo SETUP.EXE, un archivo
autoextraíble que contiene al propio troyano.
Cuando está activo, el troyano captura todo lo tecleado y lo
guarda en LISTA.LOG.
Cuando el usuario del sistema infectado se conecta a Internet,
el troyano envía LISTA.LOG a la dirección de correo del
supuesto autor del mismo.
Nota: la carpeta 'C:\Windows\System' puede variar de
acuerdo al sistema operativo instalado (con ese nombre por
defecto en Windows 9x/ME, como 'C:\WinNT\System32' en
Windows NT/2000 y 'C:\Windows\System32' en Windows XP).
Reparación manual
Para eliminar manualmente este gusano de un sistema infectado,
siga estos pasos:
1. Detenga el proceso del virus en memoria:
a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.
2. En ambos casos, en la lista de tareas,
señale la siguiente:
DOSPRMT.EXE
3. Seleccione el botón de finalizar tarea.
En Windows NT/2000 o XP, deberá seleccionar esta última opción
en la lengüeta Procesos.
4. Actualice sus antivirus y realice un escaneo de sus discos,
borrando los archivos detectados como pertenecientes al gusano,
y también todo correo electrónico con las características
descriptas anteriormente.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Referencias:
Clientes do Banco do Brasil na mira de criadores de vírus
http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1030407681,46435,/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
