Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: W32/Trojan.Eurosol. Mete las manos en sus bolsillos
 
VSantivirus No. 318 - Año 5 - Martes 22 de mayo de 2001

Nombre: W32/Trojan.Eurosol
Tipo: Caballo de Troya
Fecha: 17/may/01
Alias: Trojan.Win32.Eurosol
Tamaño: 220,672 bytes

"Eurosol" es el nombre de un nuevo troyano, reportado originalmente por Kaspersky Antivirus, el cuál es capaz de robar la información de las cuentas personales del sistema de finanzas internacionales, llamado WebMoney (www.webmoney.ru).

Según Denis Zenkin, jefe de las comunicaciones corporativas de Kaspersky Labs, por el momento no se han recibido informes de usuarios vulnerados. Sin embargo, un análisis del servidor FTP donde el troyano guarda la información robada, revela "[que] serían ya más de 300 los usuarios que podrían estar en situación de peligro, y en un futuro cercano, los mismos podrían descubrir que sus cuentas en WebMoney no tienen fondos disponibles", explica Zenkin. "Esto significa que el troyano está instalado en muchas computadoras en este momento, y sus usuarios ignoran que lo tienen".

Al momento, Kaspersky Labs ha tomado las medidas necesarias para cerrar los servidores que utilizan el troyano Eurosol.

El troyano llega disfrazado como un programa de WebMoney (CC-Bank) que ofrece dinero por ver anuncios (banners) mientras se navega.

Luego de mostrar 15 banners, ofrece un número de tarjeta de crédito y una cierta cantidad de dinero en una cuenta de la cual el usuario puede disponer más tarde para realizar compras.

WebMoney es un banco internacional que irónicamente está diseñado para evitar que los compradores on-line expongan sus números de tarjetas de créditos al hacer sus compras por Internet.

Para que el troyano se instale en nuestro equipo, debemos ejecutarlo.

Cuando lo hacemos, el .EXE (comprimido con la herramienta UPX), se descomprime, y genera el siguiente archivo (una copia del propio troyano):

C:\Windows\NETBIOS32.EXE

Modifica luego el archivo SYSTEM.INI para ejecutarse en cada reinicio de Windows.

También genera los archivos: STTAK.DAT y STTL.DAT, que usará para el envío de su datos.

Luego, muestra una ventana con anuncios en idioma ruso, relacionados con transacciones de tarjetas de crédito (WebMoney.ru).

Mientras el usuario visualiza los banners, el troyano busca los archivos de claves del programa "WebMoney" (keys.kwm y purses.kwm), si el mismo está instalado en el equipo infectado, y los envía en un formato encriptado a un servidor FTP seleccionado por el atacante.

El primero de esos archivos contiene un código secreto y el otro la cantidad de dinero virtual acumulada.

Una vez los archivos en el FTP, el atacante puede usar las cuentas de sus víctimas en la red WebMoney, pudiendo incluso transferir sus contenidos a otra cualquiera (la suya propia, por ejemplo), o extraer el dinero por otros métodos.

Si encuentra el cortafuegos ATGuard instalado en la computadora atacada, es capaz de anularlo para que no identifique su conexión TCP/IP con el servidor FTP.

Para limpiar una máquina infectada, ejecute un antivirus al día, y borre el archivo del programa. Borre también la referencia a C:\Windows\NETBIOS32.EXE del archivo C:\WINDOWS\System.ini

El troyano se activa al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Fuentes: Kaspersky Antivirus, Panda Software
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS