|
VSantivirus No. 1185 Año 7, Domingo 5 de octubre de 2003
Troj/PWS.Finero.A. Simula la interface de un banco
http://www.vsantivirus.com/finero-a.htm
Nombre: Troj/PWS.Finero.A
Tipo: Caballo de Troya, robador de contraseñas
Alias: PWSteal.Finero
Fecha: 3/oct/03
Plataforma: Windows 32-bit
Tamaños: 190.976 bytes (descargador), 370,188 bytes (RAR), 325,632 bytes (troyano)
Reportado por: Symantec
Este troyano simula ser la interface de ciertos bancos de origen brasileño, con la intención de robar las contraseñas de usuarios desprevenidos.
Un componente que descarga al troyano propiamente dicho, puede arribar en un correo electrónico con el siguiente adjunto:
BBsetup.exe
Todos los componentes (troyano y programa descargador), están escritos en Borland Delphi, y comprimidos con la utilidad UPX.
Cuando el adjunto es ejecutado, el programa descargador muestra una ventana con un mensaje, que incluye un botón con la leyenda [clique aqui].
Cuando el usuario sigue estas instrucciones, se procede a descargar de un sitio FTP en Internet, un archivo autoextraíble en formato RAR, el cuál es grabado en la siguiente ubicación y luego ejecutado:
c:\windows\system\setupx.exe
Cuando este componente se ejecuta, el mismo crea al troyano propiamente dicho, en la siguiente ubicación, y luego lo ejecuta automáticamente:
c:\windows\system\mobsync32.exe
Cuando el troyano se ejecuta, el mismo agrega la siguiente entrada en el registro para poder ejecutarse cada vez que Windows se reinicia.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MOBSYNC32.EXE = c:\windows\system\mobsync32.exe
Luego, monitorea toda ventana del Internet Explorer que estuviera activa, esperando que la víctima abra la página de determinados bancos on-line de Brasil.
Cuando uno de esos sitios es accedido por el usuario, el troyano despliega una de varias ventanas de ingreso seleccionada de acuerdo al sitio visitado (examina el título de la ventana del IE abierta), solicitando el nombre de usuario y la contraseña.
La información obtenida es almacenada en el siguiente archivo:
c:\windows\mob\sys.log
Luego, dicho archivo es subido por el propio troyano, a un sitio FTP determinado.
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Antivirus
Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos.
Borrar los archivos creados por el gusano.
En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
bbsetup.exe, setupx.exe, mobsync32.exe
4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados
5. Cierre la ventana de búsqueda
6. Con el Explorador de Windows, busque y borre también la carpeta "MOB" y su contenido:
c:\windows\mob\
7. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente:
bbsetup.exe, setupx.exe, mobsync32.exe
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos encontrados
9. Cierre la ventana de búsqueda
10. Con el Explorador de Windows, busque y borre también la carpeta "MOB" y su contenido:
c:\windows\mob\
11. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
MOBSYNC32.EXE
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|