| Nombre común: Banetmex.A
Nombre técnico: Trj/Banetmex.A
Peligrosidad: Media
Tipo: Troyano
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95/3.X
Fecha de detección: 26/02/2008
Detección actualizada: 28/02/2008
¿Está en circulación? Si
Protección proactiva: Sí, mediante las Tecnologías TruPrevent
Descripción Breve
Banetmex.A es un troyano que envía mensajes de tipo phishing con el objetivo de robar las contraseñas y claves de acceso del usuario. Para enviar el phishing, utiliza las direcciones de correo electrónico que ha recopilado del ordenador afectado.
Además, por una parte, roba información confidencial sobre ciertas entidades bancarias mexicanas, redirigiendo a los usuarios que visiten las páginas de estos bancos a una página maliciosa que imita a la original para que introduzcan sus datos bancarios.
Por otra, se descarga el backdoor detectado como Sdbot.LQZ desde cierta página web. Los ejemplares pertenecientes a esta familia normalmente están diseñados para impedir la ejecución de programas de seguridad y controlar el ordenador afectado remotamente.
Banetmex.A no se propaga automáticamente por sus propios medios.
Síntomas Visibles
Banetmex.A es difícil de reconocer a simple vista, ya que no muestra mensajes o avisos que alerten sobre su presencia.
Efectos
Banetmex.A realiza las siguientes acciones:
Roba información confidencial sobre ciertas entidades bancarias mexicanas.
Para ello, cuando el usuario accede a alguna de estas páginas web, es redirigido a una página maliciosa que imita a la original. De esta manera, si el usuario introduce sus datos, este troyano capturará toda la información.
Por una parte, recopila las direcciones de correo electrónico que el usuario tenga almacenadas en el ordenador y las guarda en un archivo de texto.
Se conecta a un determinado servidor FTP y sube dicho archivo de texto.
Una vez que recibe las direcciones de correo electrónico, envía mensajes de tipo phishing a todas las direcciones que ha recopilado.
Por otra, se descarga el backdoor detectado como Sdbot.LQZ desde la página web http://colimtys.com.
Normalmente, los códigos maliciosos pertenecientes a esta familia están diseñados para impedir la ejecución de programas de seguridad y recibir instrucciones a través de IRC, que le permiten controlar el ordenador afectado remotamente.
Metodo de Infección
Banetmex.A crea los siguientes archivos:
UPDATE.EXE, en la carpeta system del directorio de Windows.
VISTA.EXE, en el directorio de Windows.
Estos dos archivos son copias del troyano.
WIN.EXE, en la carpeta system del directorio de Windows. Este archivo corresponde a Bck/Sdbot.LQZ.
Banetmex.A modifica el archivo HOSTS. Mediante esta modificación, redirige ciertas páginas web de entidades bancarias a otras que imitan a las originales.
Banetmex.A crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
update = c:windowssystemUpdate.exe
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion runservices
update = c:windowssystemUpdate.exe
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
vista = %windir%vista.exe
donde %windir% es el directorio de Windows.
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion runservices
vista = %windir%vista.exe
Mediante estas entradas, Banetmex.A consigue ejecutarse siempre que Windows se inicia.
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
win = c:windowssystemwin.exe
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion runservices
win = c:windowssystemwin.exe
Mediante estas entradas, el backdoor Sdbot.LQZ consigue ejecutarse cada vez que Windows se inicia.
Método de Propagación
Banetmex.A llega al ordenador en un archivo con el icono de un gusano:
Sin embargo, no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
Banetmex.A tiene un tamaño de 1486849 Bytes y está comprimido mediante Themida.
|
|
