Nombre: TR/Spy.Bancodor.AB Descubierto: 12/04/2006 Tipo: Troyano En circulación (ITW): No Número de infecciones comunicadas: Bajo Potencial de propagación: Bajo Potencial dañino: Medio Fichero estático: Sí Tamaño: 41.472 Bytes Suma de control MD5: 62417a81023a5ae1dfce61709824d49b Versión del VDF: 6.34.00.176
General Método de propagación: • No tiene rutina propia de propagación Alias: • Kaspersky: Backdoor.Win32.Bancodor.ab • TrendMicro: TSPY_AGENT.BRF • Bitdefender: Trojan.Spy.Bancodor.A Plataformas / Sistemas operativos: • Windows 2000 • Windows XP • Windows 2003 Efectos secundarios: • Suelta ficheros • Suelta ficheros dañinos • Reduce las opciones de seguridad • Modificaciones en el registro • Roba informaciones Ficheros Se copia a sí mismo en la siguiente ubicación: • %PROGRAM FILES% \Common Files\System\lsass.exe Crea los siguientes ficheros: – Ficheros temporales, que pueden ser eliminados después: • C:\bkup.reg • %SYSDIR% \divx.ini • %SYSDIR% \%serie de caracteres aleatorios% .tmp.log – %SYSDIR% \divx.ini Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido: • %informaciones robadas% – %SYSDIR% \winaupd.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.Bancodo.AB.2 – %SYSDIR% \xvid.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.Bancodo.AB.4 – %SYSDIR% \nUn.b Contiene parámetros empleados por el programa malicioso. Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema: – [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] • system = %PROGRAM FILES% \Common Files\system\lsass.exe Elimina las siguientes claves del registro, incluyendo todos sus valores y subclaves: • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] • [HKCU\Software\Microsoft\Internet Explorer\TypedURLs] • [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] Crea la siguiente entrada para evitar el cortafuego de Windows XP: – [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List] • %SYSDIR% \userinit.exe = %SYSDIR% \userinit.exe:*:Enabled:Userinit Modifica las siguientes claves del registro: – [HKLM\SOFTWARE\Microsoft\Windows] Nuevo valor: • System = • Shell = Explorer.exe – [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv] Valor anterior: • Start = %configuración definida por el usuario% Nuevo valor: • Start = 2 – [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] Valor anterior: • ServiceDll = %SYSDIR% \wuauserv.dll Nuevo valor: • ServiceDll = %SYSDIR% \winaupd.dll – [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Valor anterior: • SFCDisable = 0 Nuevo valor: • SFCDisable = ffffff9d • SFCScan = 0 Varias opciones de configuración en Explorer: – [HKCU\Software\Microsoft\Internet Explorer] Nuevo valor: • SearchURL = – [HKCU\Software\Microsoft\Internet Explorer\Main] Nuevo valor: • Default_Search_URL = • Search Page = www.microsoft.com/isapi/redir.dllprd = ie&ar = iesearch • Search Bar = • SearchURL = • Window_Placement = – [HKCU\Software\Microsoft\Internet Explorer\Search] Nuevo valor: • SearchAssistant = – [HKCU\Software\Micrsoft\Internet Explorer\Toolbar\WebBrowser] Nuevo valor: • ITBarLayout = – [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search] Nuevo valor: • SearchAssistant = ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm • CustomizeSearch = ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm – [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs] Nuevo valor: • NavigationFailure = res://shdoclc.dll/navcancl.htm • DesktopItemNavigationFailure = res://shdoclc.dll/navcancl.htm • NavigationCanceled = res://shdoclc.dll/navcancl.htm • OfflineInformation = res://shdoclc.dll/offcancl.htm • blank = res://mshtml.dll/blank.htm • PostNotCached = res://mshtml.dll/repost.htm • mozilla = res://mshtml.dll/about.moz – [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main] Nuevo valor: • Default_Page_URL = about:blank • Default_Search_URL = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch • Search Page = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch • Local Page = • Start Page = about:blank – [HKU\.Default\Software\Microsoft\Internet Explorer] Nuevo valor: • SearchURL = – [HKU\.Default\Software\Microsoft\Internet Explorer\Main] Nuevo valor: • Search Page = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch • Default_Search_URL = • Search Bar = • Local Page = • Start Page = – [HKU\.Default\Software\Microsoft\Internet Explorer\Search] Nuevo valor: • SearchAssistant = – [HKCU\Software\Microsoft\Internet Explorer\Main] Nuevo valor: • Check_Associations = yes – [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] Nuevo valor: • NoSaveSettings = 0 – [HKCU\Software\Microsoft\Windows\CurrentVersion\ Group Policy Objects\LocalUser\Software\Policies\Microsoft\ Internet Explorer\Control Panel] Nuevo valor: • Check_If_Default = 0 – [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel] Nuevo valor: • Check_If_Default = 0 – [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Nuevo valor: • SeparateProcess = 0 Finalización de los procesos Listado de los procesos finalizados: • WINLDRA.EXE; NETSCAPE.EXE; OPERA.EXE; FIREFOX.EXE; MOZILLA.EXE; M00.EXE; WINTBPX.EXE; SWCHOST.EXE; SVOHOST.EXE; SVC.EXE; WINSOCK.EXE; SPOOLS.EXE; KERNELS32.EXE; mwfibpx.exe; nod32kui.exe; mcupdate.exe; mw1hel~1.exe; realsched.exe; tbon.exe; pucxyloo.exe; mouse32a.exe; winupdates.exe; backweb-; qttask.exe; mediagateway.exe; sox1.exe; shstat.exe; SpyAxe.exe; xcommsvr.exe; rwnt.exe; shost.exe; MouseElf.exe; aimexdll.exe; batserv2.exe; Elogerr.exe; sysc.exe; stopads.exe; istsvc.exe; uwfx5.exe; dazzler.exe; secure.exe; spoolsrv32.exe; ibm00001.exe; kernels64.exe; driver64.exe; paytime.exe; type32.exe; mediapipe.exe; adduz32.exe; itbill.exe; spysheriff.exe; apifl.exe; drsmartloadb.exe; gcasserv.exe; mpp2pl.exe; unspypc.exe; realsched.exe; isstart.exe; logitray.exe; winstall.exe; statusclient.exe; mpcsvc.exe; backorif.exe; NopeZ.exe; usrprmpt.exe; netnw.exe; hpbpsttp.exe; nvarem.exe; apifl.exe; UnSpyPC.exe Backdoor (Puerta trasera) Servidor contactado: La siguiente: • http://www.southsea.cc/news/********** De esta forma puede enviar informaciones. Además, rehace la conexión periódicamente. Esto se realiza mediante el método HTTP POST, empleando un script PHP. La respuesta del servidor queda escrita en el fichero: %SYSDIR% \xvid.ini Envía informaciones acerca de: • Contraseñas guardadas • Ficheros de informe creados • Variables de ambiente • Estado actual del programa viral • Informaciones acerca de los procesos del sistema • Las informaciones recolectadas, descritas en la sección Robo de informaciones Intenta robar las siguientes informaciones: – Contraseñas tipeadas en los campos de contraseñas – Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts – Después de visitar el siguiente sitio web, se crea una rutina para generar ficheros de informe: • %cualquier sitio web que contiene un formulario de autentificación% – Captura: • Información de la ventana • Informaciones para iniciar sesión Inyectar el código viral en otros procesos – Inyecta el siguiente fichero en un proceso: %SYSDIR% \xvid.dll Nombre del proceso: • %todos los procesos se han iniciado después de que el malware es activo en la memoria% Informaciones diversas Objeto mutex: Crea el siguiente objeto mutex: • _Toolbar_Class_32 Modificación del fichero: Es capaz de modificar el fichero sfc_os.dll en offset 0000E2B8 para inhabilitar Windows File Protection (WFP). WFP sirve para evitar algunos de los problemas actuales que causa inconsistencias con el DLL. Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario. Oculta las siguientes: – Su propio proceso Datos del fichero Lenguaje de programación: El programa de malware ha sido escrito en MS Visual C++. Programa de compresión de ejecutables: Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables: • UPX
Descripción insertada por Andrei Gherman el jueves 13 de abril de 2006 Descripción actualizada por Andrei Gherman el jueves 13 de abril de 2006
Volver
.
.
.
.