Descripción completa

Nombre:	TR/Dldr.Delf.tp.1.A
Descubierto:	15/09/2005
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	385.536 Bytes
Suma de control MD5:	d905b68eea607dfd2fdc6bc21278abfd
Versión del VDF:	6.31.1.188

General Alias:
   • Mcafee: PWS-Banker.gen.i
   • Kaspersky: Trojan-Spy.Win32.Banker.acb

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones

Ficheros Elimina los siguientes ficheros:
   • %temporary internet files%\*.*
   • %cookies%\*.*

Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %WINDIR%\Filespro\Tales\Local\barra2-PROGRESS.bmp;
      %WINDIR%\Filespro\Tales\Local\barra_brad.bmp;
      %WINDIR%\Filespro\Tales\Local\barra_progress.bmp;
      %WINDIR%\Filespro\Tales\Local\bt_confirma.bmp;
      %WINDIR%\Filespro\Tales\Local\bt_retornaCX.bmp;
      %WINDIR%\Filespro\Tales\Local\cadeado.bmp;
      %WINDIR%\Filespro\Tales\Local\campo_CX.bmp;
      %WINDIR%\Filespro\Tales\Local\caps.bmp;
      %WINDIR%\Filespro\Tales\Local\err_bb.bmp;
      %WINDIR%\Filespro\Tales\Local\logoPF.bmp;
      %WINDIR%\Filespro\Tales\Local\logo_BB.bmp;
      %WINDIR%\Filespro\Tales\Local\senha_AMARELA.bmp;
      %WINDIR%\Filespro\Tales\Local\senha_GER.bmp;
      %WINDIR%\Filespro\Tales\Local\teclado_CX.bmp;
      %WINDIR%\Filespro\Tales\Local\tela2_BB.bmp;
      %WINDIR%\Filespro\Tales\Local\tela_Bradesco_senha.bmp;
      %WINDIR%\Filespro\Tales\Local\tela_brad_sencartao.bmp;
      %WINDIR%\Filespro\Tales\Local\tela_caixa_assinatura.bmp;
      %WINDIR%\Filespro\Tales\Local\topo2.bmp;
      %WINDIR%\Filespro\Tales\Local\TV_PJ.bmp; %WINDIR%\winnavps\bb\1234.jar;
      %WINDIR%\winnavps\bb\banner012.jpg; %WINDIR%\winnavps\bb\banner03.gif;
      %WINDIR%\winnavps\bb\banner13.gif; %WINDIR%\winnavps\bb\barra_ger.jpg;
      %WINDIR%\winnavps\bb\barsep.gif; %WINDIR%\winnavps\bb\certificacao.gif;
      %WINDIR%\winnavps\bb\cópia de gerenciador.html;
      %WINDIR%\winnavps\bb\do.gif; %WINDIR%\winnavps\bb\erro_bb.html;
      %WINDIR%\winnavps\bb\erro_gerenciador.html;
      %WINDIR%\winnavps\bb\gerenciador.html;
      %WINDIR%\winnavps\bb\gerenciador2.html; %WINDIR%\winnavps\bb\imagem01.gif;
      %WINDIR%\winnavps\bb\imagem02.gif; %WINDIR%\winnavps\bb\imagem06.gif;
      %WINDIR%\winnavps\bb\imagem07.gif; %WINDIR%\winnavps\bb\imagem10.gif;
      %WINDIR%\winnavps\bb\imagem11.gif; %WINDIR%\winnavps\bb\imagem19.gif;
      %WINDIR%\winnavps\bb\imagem20.gif; %WINDIR%\winnavps\bb\imagem21.gif;
      %WINDIR%\winnavps\bb\imgentra.gif; %WINDIR%\winnavps\bb\imglimpa.gif;
      %WINDIR%\winnavps\bb\inicio.gif; %WINDIR%\winnavps\bb\lbg.gif;
      %WINDIR%\winnavps\bb\linha.gif; %WINDIR%\winnavps\bb\msg_1.gif;
      %WINDIR%\winnavps\bb\principal.html; %WINDIR%\winnavps\bb\prod3.gif;
      %WINDIR%\winnavps\bb\pt.gif; %WINDIR%\winnavps\bb\pt10.gif;
      %WINDIR%\winnavps\bb\pt11.gif; %WINDIR%\winnavps\bb\pt12.gif;
      %WINDIR%\winnavps\bb\pt13.gif; %WINDIR%\winnavps\bb\ptc1.gif;
      %WINDIR%\winnavps\bb\ptc2.gif; %WINDIR%\winnavps\bb\ptc3.gif;
      %WINDIR%\winnavps\bb\ptc4.gif; %WINDIR%\winnavps\bb\ptt.gif;
      %WINDIR%\winnavps\bb\rdc.gif; %WINDIR%\winnavps\bb\rdl.gif;
      %WINDIR%\winnavps\bb\sua.jpg; %WINDIR%\winnavps\bb\tcvirtu.gif;
      %WINDIR%\winnavps\bb\tracoh.gif; %WINDIR%\winnavps\bb\tracoh2.gif;
      %WINDIR%\winnavps\bb\tracoh_1.gif; %WINDIR%\winnavps\bb\tracoh_1_2.gif;
      %WINDIR%\winnavps\bb\tracoh_1_3.gif; %WINDIR%\winnavps\bb\tracov.gif;
      %WINDIR%\winnavps\bb\tracov2.gif; %WINDIR%\winnavps\bb\tracov3.gif;
      %WINDIR%\winnavps\bb\tracov_1.gif; %WINDIR%\winnavps\bb\tracov_1_2.gif;
      %directorio donde se ejecuta el programa viral%\ibb011.cfg;
      %directorio donde se ejecuta el programa viral%\tsuname2.txt;
      %directorio donde se ejecuta el programa viral%\brad11.cfg;
      %directorio donde se ejecuta el programa viral%\tsuname4.txt

Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/barra2-PROGRESS.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\barra2-PROGRESS.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/barra_brad.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\barra_brad.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/barra_progress.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\barra_progress.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/bt_confirma.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\bt_confirma.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/bt_retornaCX.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\bt_retornaCX.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/cadeado.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\cadeado.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/campo_CX.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\campo_CX.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/caps.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\caps.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/err_bb.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\err_bb.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/logoPF.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\logoPF.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/logo_BB.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\logo_BB.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/senha_AMARELA.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\senha_AMARELA.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/senha_GER.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\senha_GER.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/teclado_CX.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\teclado_CX.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/tela2_BB.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\tela2_BB.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/tela_Bradesco_senha.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\tela_Bradesco_senha.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/tela_brad_sencartao.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\tela_brad_sencartao.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/tela_caixa_assinatura.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\tela_caixa_assinatura.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/topo2.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\topo2.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/TV_PJ.html
El fichero está guardado en el disco duro en: %WINDIR%\Filespro\Tales\Local\TV_PJ.zip

– La dirección es la siguiente:
   • http://**********.vilabol.uol.com.br/qqq.html
El fichero está guardado en el disco duro en: %WINDIR%\winnavps\bbb.bck

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "irwftp"="%SYSDIR%\swshost.exe"

Correo electrónico No tiene rutina propia de propagación, pero puede enviar mensajes de correo. Lo más probable es que el destinatario sea el autor del virus. Las características están descritas a continuación:

El diseño de los mensajes de correo:

De: "%nombre del ordenador%" <%nombre del ordenador%edilene.bastos@isbt.com.br>
A: edilene.bastos@isbt.com.br
Asunto: Confirmei-ROYALTIES_BLACK
Cuerpo del mensaje:
   • %fecha actual% - %hora actual%
      %nombre del ordenador%

De: "%nombre del ordenador%" <%nombre del ordenador%astra22gsi@isbt.com.br>
A: astra22gsi@isbt.com.br
Asunto: Confirmei-ROYALTIES_BLACK
Cuerpo del mensaje:
   • %fecha actual% - %hora actual%
      %nombre del ordenador%

De: "%nombre del ordenador%" <%nombre del ordenador%edilene.bastos@isbt.com.br>
A: edilene.bastos@isbt.com.br
Asunto: Skol_p-ROYALTIES_BLACK
Cuerpo del mensaje:
   • %fecha actual% - %hora actual%
      %nombre del ordenador%
Adjunto:
   • tsuname4.txt

De: "%nombre del ordenador%" <%nombre del ordenador%astra22gsi@isbt.com.br>
A: astra22gsi@isbt.com.br
Asunto: Skol_p-ROYALTIES_BLACK
Cuerpo del mensaje:
   • %fecha actual% - %hora actual%
      %nombre del ordenador%
Adjunto:
   • tsuname4.txt

De: "%nombre del ordenador%" <%nombre del ordenador%edilene.bastos@isbt.com.br>
A: edilene.bastos@isbt.com.br
Asunto: Coca-cola-ROYALTIES_BLACK
Cuerpo del mensaje:
   • %fecha actual% - %hora actual%
      %nombre del ordenador%
Adjunto:
   • tsuname2.txt

De: "%nombre del ordenador%" <%nombre del ordenador%astra22gsi@isbt.com.br>
A: astra22gsi@isbt.com.br
Asunto: Coca-cola-ROYALTIES_BLACK
Cuerpo del mensaje:
   • %fecha actual% - %hora actual%
      %nombre del ordenador%
Adjunto:
   • tsuname2.txt

El mensaje de correo se ve así:

Envio de mensajes Servidor MX:
Puede conectarse al servidor MX:
• smtp.isbt.com.br

Robo de informaciones – Después de visitar el siguiente sitio web, se crea una rutina para generar ficheros de informe:
   • https://www2.bancobrasil.com.br/aapf/aai/login.pbk

– Inicia una rutina de creación de ficheros log después de visitar un sitio web que contiene la siguiente subserie de caracteres en su URL:
   • http://www.bradesco.com.br

– Captura:
    • Pulsaciones de teclado
    • Informaciones para iniciar sesión

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• ASPack 2.12

Descripción insertada por Iulia Diaconescu el viernes 16 de septiembre de 2005
Descripción actualizada por Iulia Diaconescu el martes 20 de septiembre de 2005

Volver . . . .

Protección destacada para PC del hogar

Productos gratis

Más populares

Todos los productos

Paquetes de soluciones

Terminales

Server

Paquetes de soluciones

Puertas de enlace de correo

Puertas de enlace web

Plataformas de colaboración

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas