Nombre:TR/Banker.Banz.dfg
Descubierto:13/07/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:5.408.768 Bytes
Suma de control MD5:4cc5e9f5b28be7c29abee34f51f78a30
Versión del IVDF:7.10.09.77 - martes 13 de julio de 2010

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Banker.Win32.Banz.dfg
   •  F-Secure: Trojan-Banker.Win32.Banz.dfg
   •  Eset: Win32/Spy.Banker.UDU
   •  Bitdefender: Trojan.Crypt.Delf.B


Plataformas / Sistemas operativos:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Roba informaciones

 Registro – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ctmon2"="C:\Arquivos de programas\Sidebar\new.exe"
   • "Sidebr"="C:\Arquivos de programas\Sidebar\new.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "msnmsr"="C:\Arquivos de programas\Sidebar\new.exe"



Añade las siguientes claves al registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"=".exe"

– [HKCU\Software\AVG Security Toolbar]
   • "moveUnderTabs"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   Firewal+lPolicy]
   • "EnableFirewall"=dword:00000000

– [HKLM\SYSTEM\ControlSet001\Control\Partizan]
   • "HideWelcomeMessage"=dword:00000002
   • "UseSafedelete"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Control\Partizan]
   • "HideWelcomeMessage"=dword:00000002
   • "UseSafedelete"=dword:00000000



Modifica las siguientes claves del registro:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   Valor anterior:
   • "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
   • 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00
   Nuevo valor:
   • "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
   • 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,20,00,00,00,46,00,\
   • 43,00,4f,00,52,00,50,00,00,00,41,00,56,00,00,00,00,00
   •

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   Valor anterior:
   • "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
   • 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00
   Nuevo valor:
   • "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
   • 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,20,00,00,00,46,00,\
   • 43,00,4f,00,52,00,50,00,00,00,41,00,56,00,00,00,00,00
   •

Descripción insertada por Patrick Schoenherr el martes 13 de julio de 2010
Descripción actualizada por Patrick Schoenherr el miércoles 14 de julio de 2010

Volver . . . .