| Nombre común: Goldun.TB
Nombre técnico: Trj/Goldun.TB
Peligrosidad: Media
Tipo: Troyano
Efectos: Roba contraseñas e información de sistemas de pago electrónico, como e-gold. Llega al ordenador en un mensaje de correo electrónico haciéndose pasar por el Internet Service Provider Consorcium.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 12/09/2008
Detección actualizada: 17/09/2008
Estadísticas No
Protección proactiva: Sí, mediante las Tecnologías TruPrevent
Descripción Breve
Goldun.TB es un troyano diseñado para robar contraseñas e información de sistemas de pago electrónico, como e-gold.
Además, se agrega a la lista de aplicaciones autorizadas por el cortafuegos para que este no le pueda bloquear y así conseguir acceder al ordenador afectado.
Goldun.TB no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación.
Efectos
Goldun.TB realiza las siguientes acciones:
Roba contraseñas e información de sistemas de pago electrónico, como e-gold.
Se agrega a la lista de aplicaciones autorizadas por el cortafuegos para que este no le pueda bloquear y así conseguir acceder al ordenador afectado.
Metodo de Infección
Goldun.TB crea los siguientes archivos en el directorio de sistema de Windows:
RUNDLL32.EXE
K86.BIN
CABPCK.DLL
KRNLCAB.SYS, que es un rootkit encargado de ocultar la actividad del troyano en el ordenador.
Además, crea el directorio MSI_SETUP en la carpeta Configuración Local\Temp del directorio Documents and Settings del usuario que haya iniciado sesión.
Goldun.TB crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\ krnlcab.sys
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\ krnlcab.sys
Mediante estas entradas, el archivo correspondiente al rootkit consigue ejeuctarse aunque el ordenador se inicie en modo seguro.
HKEY_LOCAL_MACHINE\ System\ controlset001\ Services\ Sharedaccess\ parameters\ firewallpolicy\ standardprofile\ authorizedapplications\ List
%sysdir%\rundll32.exe:*:Enabled:rundll32
donde %sysdir% es el directorio de sistema de Windows.
Consigue agregarse a la lista de programas autorizados por el cortafuegos.
Método de Propagación
Goldun.TB llega al ordenador en un mensaje de correo electrónico en inglés con las siguientes características:
Asunto: Your internet access is going to get suspended
Mensaje:
Your internet access is going to get suspended
The Internet Service Provider Consorcium was made to protect the rights of software authors, artists.
We conduct regular wiretapping on our networks, to monitor criminal acts.
We are aware of your illegal activities on the internet wich were originating from
You can check the report of your activities in the past 6 month that we have attached. We strongly advise you to stop your activities regarding the illegal downloading of copyrighted material of your internet access will be suspended.
Sincerely
ICS Monitoring Team
El mensaje simula ser un aviso del ICS a través del que notifican la suspensión de la conexión a Intenet del usuario debido a la descarga de material con copyright.
Archivo adjunto:
El mensaje contiene un archivo adjunto comprimido en ZIP llamado USER-EA49943X-ACTIVITIES.ZIP, y que supuestamente corresponde a un informe de la actividad de Internet de los últimos 6 meses.
Si se descomprime este archivo y se ejecuta el archivo con extensión EXE, se descargará una copia de Goldun.TB en el ordenador afectado.
Sin embargo, Goldun.TB no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
Goldun.TB tiene un tamaño de 34931 Bytes. Este troyano está comprimido mediante UPX.
|
|
