Descripción completa

Nombre:	TR/Spy.Bancodor.AB
Descubierto:	12/04/2006
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	41.472 Bytes
Suma de control MD5:	62417a81023a5ae1dfce61709824d49b
Versión del VDF:	6.34.00.176

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Kaspersky: Backdoor.Win32.Bancodor.ab
   • TrendMicro: TSPY_AGENT.BRF
   • Bitdefender: Trojan.Spy.Bancodor.A

Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta ficheros
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones

Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %PROGRAM FILES%\Common Files\System\lsass.exe

Crea los siguientes ficheros:

– Ficheros temporales, que pueden ser eliminados después:
   • C:\bkup.reg
   • %SYSDIR%\divx.ini
   • %SYSDIR%\%serie de caracteres aleatorios%.tmp.log

– %SYSDIR%\divx.ini Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %informaciones robadas%

– %SYSDIR%\winaupd.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.Bancodo.AB.2

– %SYSDIR%\xvid.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.Bancodo.AB.4

– %SYSDIR%\nUn.b Contiene parámetros empleados por el programa malicioso.

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • system = %PROGRAM FILES%\Common Files\system\lsass.exe

Elimina las siguientes claves del registro, incluyendo todos sus valores y subclaves:
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
   • [HKCU\Software\Microsoft\Internet Explorer\TypedURLs]
   • [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]

Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %SYSDIR%\userinit.exe = %SYSDIR%\userinit.exe:*:Enabled:Userinit

Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows]
   Nuevo valor:
   • System =
   • Shell = Explorer.exe

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Valor anterior:
   • Start = %configuración definida por el usuario%
   Nuevo valor:
   • Start = 2

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
   Valor anterior:
   • ServiceDll = %SYSDIR%\wuauserv.dll
   Nuevo valor:
   • ServiceDll = %SYSDIR%\winaupd.dll

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • SFCDisable = 0
   Nuevo valor:
   • SFCDisable = ffffff9d
   • SFCScan = 0

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Internet Explorer]
   Nuevo valor:
   • SearchURL =

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuevo valor:
   • Default_Search_URL =
   • Search Page = www.microsoft.com/isapi/redir.dllprd = ie&ar = iesearch
   • Search Bar =
   • SearchURL =
   • Window_Placement =

– [HKCU\Software\Microsoft\Internet Explorer\Search]
   Nuevo valor:
   • SearchAssistant =

– [HKCU\Software\Micrsoft\Internet Explorer\Toolbar\WebBrowser]
   Nuevo valor:
   • ITBarLayout =

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search]
   Nuevo valor:
   • SearchAssistant = ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
   • CustomizeSearch = ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
   Nuevo valor:
   • NavigationFailure = res://shdoclc.dll/navcancl.htm
   • DesktopItemNavigationFailure = res://shdoclc.dll/navcancl.htm
   • NavigationCanceled = res://shdoclc.dll/navcancl.htm
   • OfflineInformation = res://shdoclc.dll/offcancl.htm
   • blank = res://mshtml.dll/blank.htm
   • PostNotCached = res://mshtml.dll/repost.htm
   • mozilla = res://mshtml.dll/about.moz

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   Nuevo valor:
   • Default_Page_URL = about:blank
   • Default_Search_URL = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Search Page = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Local Page =
   • Start Page = about:blank

– [HKU\.Default\Software\Microsoft\Internet Explorer]
   Nuevo valor:
   • SearchURL =

– [HKU\.Default\Software\Microsoft\Internet Explorer\Main]
   Nuevo valor:
   • Search Page = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Default_Search_URL =
   • Search Bar =
   • Local Page =
   • Start Page =

– [HKU\.Default\Software\Microsoft\Internet Explorer\Search]
   Nuevo valor:
   • SearchAssistant =

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuevo valor:
   • Check_Associations = yes

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuevo valor:
   • NoSaveSettings = 0

– [HKCU\Software\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Policies\Microsoft\
   Internet Explorer\Control Panel]
   Nuevo valor:
   • Check_If_Default = 0

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   Nuevo valor:
   • Check_If_Default = 0

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • SeparateProcess = 0

Finalización de los procesos Listado de los procesos finalizados:
   • WINLDRA.EXE; NETSCAPE.EXE; OPERA.EXE; FIREFOX.EXE; MOZILLA.EXE;
      M00.EXE; WINTBPX.EXE; SWCHOST.EXE; SVOHOST.EXE; SVC.EXE; WINSOCK.EXE;
      SPOOLS.EXE; KERNELS32.EXE; mwfibpx.exe; nod32kui.exe; mcupdate.exe;
      mw1hel~1.exe; realsched.exe; tbon.exe; pucxyloo.exe; mouse32a.exe;
      winupdates.exe; backweb-; qttask.exe; mediagateway.exe; sox1.exe;
      shstat.exe; SpyAxe.exe; xcommsvr.exe; rwnt.exe; shost.exe;
      MouseElf.exe; aimexdll.exe; batserv2.exe; Elogerr.exe; sysc.exe;
      stopads.exe; istsvc.exe; uwfx5.exe; dazzler.exe; secure.exe;
      spoolsrv32.exe; ibm00001.exe; kernels64.exe; driver64.exe;
      paytime.exe; type32.exe; mediapipe.exe; adduz32.exe; itbill.exe;
      spysheriff.exe; apifl.exe; drsmartloadb.exe; gcasserv.exe; mpp2pl.exe;
      unspypc.exe; realsched.exe; isstart.exe; logitray.exe; winstall.exe;
      statusclient.exe; mpcsvc.exe; backorif.exe; NopeZ.exe; usrprmpt.exe;
      netnw.exe; hpbpsttp.exe; nvarem.exe; apifl.exe; UnSpyPC.exe

Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • http://www.southsea.cc/news/**********

De esta forma puede enviar informaciones. Además, rehace la conexión periódicamente. Esto se realiza mediante el método HTTP POST, empleando un script PHP.
La respuesta del servidor queda escrita en el fichero: %SYSDIR%\xvid.ini

Envía informaciones acerca de:
    • Contraseñas guardadas
    • Ficheros de informe creados
    • Variables de ambiente
    • Estado actual del programa viral
    • Informaciones acerca de los procesos del sistema
    • Las informaciones recolectadas, descritas en la sección

Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas tipeadas en los campos de contraseñas
– Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Después de visitar el siguiente sitio web, se crea una rutina para generar ficheros de informe:
   • %cualquier sitio web que contiene un formulario de
      autentificación%

– Captura:
    • Información de la ventana
    • Informaciones para iniciar sesión

Inyectar el código viral en otros procesos – Inyecta el siguiente fichero en un proceso: %SYSDIR%\xvid.dll

    Nombre del proceso:
   • %todos los procesos se han iniciado después de que el malware es
      activo en la memoria%

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• _Toolbar_Class_32

Modificación del fichero:
Es capaz de modificar el fichero sfc_os.dll en offset 0000E2B8 para inhabilitar Windows File Protection (WFP). WFP sirve para evitar algunos de los problemas actuales que causa inconsistencias con el DLL.

Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.

Oculta las siguientes:
– Su propio proceso

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Descripción insertada por Andrei Gherman el jueves 13 de abril de 2006
Descripción actualizada por Andrei Gherman el jueves 13 de abril de 2006

Volver . . . .