Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
Troj/PSWBugbear.B. El troyano del Bugbear.B
 
VSantivirus No. 1068 Año 7, Martes 10 de junio de 2003

 Troj/PSWBugbear.B. El troyano del Bugbear.B
http://www.vsantivirus.com/pswbugbear-b.htm

Nombre: Troj/PSWBugbear.B
Tipo: Caballo de Troya
Alias: PSWBugbear.B, W32/Tanatos, Trojan.W32/PSWBugbear.B
Fecha: 10/jun/03

Si bien se han enviado alertas de este troyano, en realidad solo merece comentarse que es parte del Bugbear.B. Así lo identifican la mayoría de los antivirus, y es la parte del gusano que actúa como caballo de Troya, capturando incluso lo tecleado por el usuario infectado.

Este troyano, liberado por el Bugbear.B, abre el puerto TCP/1080 para recibir las ordenes de un usuario remoto.

El troyano incluye 1375 direcciones de Internet pertenecientes a entidades bancarias (http://www.vsantivirus.com/bugbear-b-bancos.htm). Cada vez que infecta una máquina, examina si la misma pertenece a esa lista. Si es así, modifica el registro para activar la opción de autodiscado. La idea de esto sería conectarse al último servicio de módem utilizado por la víctima, con la intención de acceder a recursos que normalmente están desconectados de la red principal del banco, en un intento de infectarlos.

Toda la información capturada (incluye toda clase de información confidencial, como contraseñas, números de tarjetas de crédito, PINs, etc.), es enviada a diferentes direcciones.

También las contraseñas capturadas en las máquinas de los bancos dentro de su lista que son infectadas, son enviadas a las siguientes direcciones de correo:

ds2iahf@kukamail.com
eofb2@blazemail.com
ersdes@truthmail.com
eruir@hotpop.com
fbnfgh@email.ro
ifrbr@canada.com
ioter5@yook.de
iuery@myrealbox.com
jkfhw@wildemail.com
sdorad@juno.com

Cuando se ejecuta, se copia a la carpeta indicada por la siguiente entrada del registro, para poder ejecutarse en el inicio de cualquier nueva sesión de Windows:

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Shell Folders\
Common Startup = [carpeta de inicio todos los usuarios]

También copia el siguiente archivo en la carpeta de temporales de Windows:

c:\windows\TEMP\sphqghum.tmp

El mismo cambia su nombre cuando está siendo usado:

c:\windows\TEMP\~phqghum.tmp

Para no ejecutarse en memoria más de una vez, utiliza el siguiente mutex (elemento que funciona como una especie de semáforo), que le indica cuando está activo:

W32shamur

La descripción completa de éste troyano, y del propio BugBear puede ser vista aquí:

W32/Bugbear.B. Peligroso gusano de gran propagación
http://www.vsantivirus.com/bugbear-b.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS