|
VSantivirus No. 1096 Año 7, Martes 8 de julio de 2003
Troj/PSW.Banking. Compromete cuentas bancarias
http://www.vsantivirus.com/troj-banking.htm
Nombre: Troj/PSW.Banking
Tipo: Caballo de Troya
Alias: Win32.Fecom, Win32.Opdeop, Win32/PSW.Banking.Trojan
Fecha: 7/jul/03
Plataforma: Windows 32-bit
Este troyano captura la información relacionada con el nombre de usuario y contraseña, de toda ventana abierta, y en cuyo título figure alguna de las siguientes cadenas:
2CheckOut
ANZ
Authorize.Net
Bank of America
Bank One
Banker Online
BankWest
Barclays
c2it
Chase
Citibank
Citizens Bank
e-gold Account
First National Bank
Fleet
HSBC
Internet Banking
LloydsTSB
NatWest
NetBank
Online Service
PayPal
Sign On
southtrust
U.S. Bank
Wells
Westpac
2CheckOut
ANZ
Authorize.Net
Bank of America
Bank One
Banker Online
BankWest
Barclays
c2it
Chase
Citibank
Citizens Bank
e-gold Account
First National Bank
Fleet
HSBC
Internet Banking
LloydsTSB
NatWest
NetBank
Online Service
PayPal
Sign On
southtrust
U.S. Bank
Wells
Westpac
La información capturada es enviada luego a un usuario remoto.
El troyano no posee rutinas de propagación, y suele distribuirse manualmente, simulando ser alguna clase de programa inocente. Los canales de distribución más usados son el correo electrónico, listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros.
También es instalado o descargado por otros troyanos.
Cuando se ejecuta, se instala en segundo plano, examinando constantemente toda ventana que sea abierta, buscando en su título algunas de las cadenas ya vistas.
Cuando encuentra alguna, captura todo lo que el usuario ingrese en cualquier formulario presente en dicha ventana. Esto incluye además de nombre de usuario y contraseñas, cualquier otra clase de información (números de tarjetas de crédito, etc.).
La información obtenida es registrada en el siguiente archivo:
c:\~fe0273.tmp
Además, el troyano intenta obtener todas las contraseñas de acceso a Internet y otros datos como número de teléfono del proveedor, y el nombre de usuario, almacenados en el caché de la máquina infectada. Esta información también es agregada a dicho archivo.
Luego, el troyano lo envía como adjunto en un mensaje dirigido a una dirección electrónica en yahoo.com. Utiliza para ello su propio motor SMTP no dependiendo de ningún cliente de correo.
Para enviar el mensaje, se conecta al servidor de correo de Yahoo.com (mta-v20.level3.mail.yahoo.com) en la siguiente dirección IP:
64.156.215.5
Luego de ser enviado, borra el archivo "c:\~fe0273.tmp".
El troyano solo funciona con ventanas del Internet Explorer.
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Antivirus
Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|