INFOTECHNO

Bienvenidos a INFOTECHNO!! Un sitio de tecnologia dedicado a informar.

REPORTE SOBRE VIRUS E INTRUSOS

Posted by infotechno en junio 11, 2007

El informe de esta semana está protagonizado por el troyano BankFake.F, por las dos primeras variantes del gusano MSNHideOptions y por el también gusano Grogotix.A.

SANTIAGO, junio 11.- BankFake.F es un peligroso troyano bancario que afecta a nueve entidades financieras. Este malware, que puede distribuirse por correo o a través de descargas de Internet infectadas, llega al computador con un icono que representa a dos pequeñas tortugas aladas.

Una vez es ejecutado, este troyano accede a una página web y muestra al usuario una foto para no levantar sospechas. A la vez, se conecta a otras dos direcciones para descargar varios ficheros comprimidos, todos ellos empaquetados con UPX.

Este troyano está diseñado para robar contraseñas bancarias. Su funcionamiento es el siguiente: cuando el usuario teclea en el navegador la dirección de alguna de las entidades online a las que afecta BankFake.F, éste cierra el navegador y ejecuta la aplicación correspondiente a ese banco. Ésta muestra una imagen de la página real del banco y guía al usuario por esa página.

Una vez introducidos los datos, el troyano los almacena en ficheros con extensión .bsp o .cop. Periódicamente, establece una conexión ftp para enviar a su creador la información recopilada.

Además de contraseñas bancarias, BankFake.F también está diseñado para robar contraseñas del servicio de correo Hotmail. Para ello, muestra un mensaje de error cuando el usuario intenta conectarse a ese servicio y le pide que vuelva a introducir los datos, aunque, de nuevo, no se trata de una página legal sino de una aplicación del propio troyano.

  • Grogotix.A es un gusano que crea seis copias de si mismo en el sistema cuando infecta un PC. Además, cada vez que el usuario accede a una carpeta, crea una copia de sí mismo con el nombre de dicha carpeta en el mismo directorio y en el inmediatamente superior. También crea una copia de sí mismo cada vez que se ejecuta un fichero con el mismo nombre que el del original.

    Grogotix.A modifica el fichero host, añadiendo un texto con un mensaje en inglés firmado por el supuesto creador del gusano y en el que informa al usuario de que odia su campus.

    Además, esta modificación impide al usuario acceder a varias páginas web, todas ellas relacionadas con compañías de seguridad. Esta modificación es detectada por Panda Software como troyano Qhost.gen.

    Este gusano, además, crea varias entradas en el registro y modifica otras muchas. Una de ellas le permite ejecutarse con cada reinicio del sistema, mientras que otra hace desaparecer varias opciones del menú inicio.

    Grogotix.A también está diseñado para impedir la ejecución de varios programas. Además, oculta las carpetas pertenecientes a varias soluciones de seguridad.

    Intenta acceder a una red IRC conectándose a diversos servidores. Si lo consigue, utilizará esa conexión para enviar datos sobre el equipo infectado a su creador.

    Además, enviará mensajes privados aleatoriamente a los usuarios de esa red con distintos textos y un enlace para descargar el malware. Algunos de esos textos son:

  • $nick, free picture indonesia sex double klik url:
  • aloo $nick mo liat artis majalah playboy indo?, double klik url:
  • Bunga.C Dah Berani Bugil, Untuk liat Fotonya double klik url:
  • 8 aloo $nick mo liat artis-artis indonesia nude, double klik url:
  • Sorry, the comment form is closed at this time.

     
    A %d blogueros les gusta esto: