Nombre:TR/PSW.Steal.46592
Descubierto:03/11/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:94.208 Bytes
Suma de control MD5:50dd1445ede1d7aa737a7943a6440811
Versión del VDF:6.36.00.207
Versión del IVDF:6.36.00.231 - viernes 3 de noviembre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Banker.cew
   •  F-Secure: Trojan-Spy.Win32.Banker.cew
   •  Sophos: Troj/Nethell-G


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Suelta un fichero dañino
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%SYSDIR%\nethelper.xml
%SYSDIR%\commandhelper.xml
%SYSDIR%\conf.dat
%SYSDIR%\nethelper.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSW.Steal.46592

%SYSDIR%\accs.txt En este fichero se registran las pulsaciones de teclado.
%SYSDIR%\fulllog.txt En este fichero se registran las pulsaciones de teclado.
%SYSDIR%\log.txt En este fichero se registran las pulsaciones de teclado.

 Registro Registra un objeto BHO (browser helper object), añadiendo la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{1593C741-C011-46FE-99FC-3805C28328BA}]


Añade las siguientes claves al registro:

– [HKCR\NetHelper.Hook]
   • @="Hook Class"

– [HKCR\NetHelper.Hook\CLSID]
   • @="{1593C741-C011-46FE-99FC-3805C28328BA}"

– [HKCR\NetHelper.Hook\CurVer]
   • @="NetHelper.Hook.1"

– [HKCR\NetHelper.Hook.1]
   • @="Hook Class"

– [HKCR\NetHelper.Hook.1\CLSID]
   • @="{1593C741-C011-46FE-99FC-3805C28328BA}"

– [HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}]
   • @="Hook Class"

– [HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\InprocServer32]
   • @="%SYSDIR%\nethelper.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\ProgID]
   • @="NetHelper.Hook.1"

– [HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\Programmable]
– [HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\TypeLib]
   • @="{0324D9F1-2199-4424-98C7-A0E8CC45743B}"

– [HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\
   VersionIndependentProgID]
   • @="NetHelper.Hook"

– [HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}]
– [HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0]
   • @="NetHelper 1.0 Type Library"

– [HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0\0]
– [HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0\0\win32]
   • @="%SYSDIR%\nethelper.dll"

– [HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0\HELPDIR]
   • @="%SYSDIR%\"

– [HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}]
   • @="IHook"

– [HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}\TypeLib]
   • @="{0324D9F1-2199-4424-98C7-A0E8CC45743B}"
   • "Version"="1.0"

 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://noviid.com/**********
   • http://noviid.com/**********
   • http://noviid.com/**********
   • http://noviid.com/**********
   • http://noviid.com/**********
   • http://noviid.com/**********

De esta forma puede enviar informaciones. Esto se realiza mediante una interrogación HTTP GET en un script PHP.


Envía informaciones acerca de:
    • Las informaciones recolectadas, descritas en la sección

 Robo de informaciones Intenta robar las siguientes informaciones:
– Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Después de visitar uno de los siguientes sitios web, se crea una rutina para generar ficheros de informe:
   • https://www3.netbank.commbank.com.au/netbank/bankmain
   • ib.national.com.au/nabib/loginProcess.ctl
   • www.national.au

– Captura:
    • Informaciones para iniciar sesión

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Adriana Popa el lunes 6 de noviembre de 2006
Descripción actualizada por Adriana Popa el martes 7 de noviembre de 2006

Volver . . . .