Utilizamos Cookies de terceros para generar estadísticas de audiencia y mostrar publicidad personalizada analizando tu navegación. Si sigues navegando estarás aceptando su uso. Más información X
-
Portada Foro Ayuda Tutoriales Programas Blog Tecnología Drivers Videos
Windows | Android | iOS | Comunidad | Hazte Fan | Síguenos Buscador



Goldun.TB - Trj/Goldun.TB

Nombre común: Goldun.TB

Nombre técnico: Trj/Goldun.TB

Peligrosidad: Media

Tipo: Troyano

Efectos: Roba contraseñas e información de sistemas de pago electrónico, como e-gold. Llega al ordenador en un mensaje de correo electrónico haciéndose pasar por el Internet Service Provider Consorcium.

Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95

Fecha de detección: 12/09/2008

Detección actualizada: 17/09/2008

Estadísticas No

Protección proactiva: Sí, mediante las Tecnologías TruPrevent

Descripción Breve

Goldun.TB es un troyano diseñado para robar contraseñas e información de sistemas de pago electrónico, como e-gold.

Además, se agrega a la lista de aplicaciones autorizadas por el cortafuegos para que este no le pueda bloquear y así conseguir acceder al ordenador afectado.

Goldun.TB no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación.

Efectos

Goldun.TB realiza las siguientes acciones:

Roba contraseñas e información de sistemas de pago electrónico, como e-gold.
Se agrega a la lista de aplicaciones autorizadas por el cortafuegos para que este no le pueda bloquear y así conseguir acceder al ordenador afectado.

Metodo de Infección

Goldun.TB crea los siguientes archivos en el directorio de sistema de Windows:

RUNDLL32.EXE
K86.BIN
CABPCK.DLL
KRNLCAB.SYS, que es un rootkit encargado de ocultar la actividad del troyano en el ordenador.

Además, crea el directorio MSI_SETUP en la carpeta Configuración Local\Temp del directorio Documents and Settings del usuario que haya iniciado sesión.

Goldun.TB crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\ krnlcab.sys
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\ krnlcab.sys
Mediante estas entradas, el archivo correspondiente al rootkit consigue ejeuctarse aunque el ordenador se inicie en modo seguro.
HKEY_LOCAL_MACHINE\ System\ controlset001\ Services\ Sharedaccess\ parameters\ firewallpolicy\ standardprofile\ authorizedapplications\ List
%sysdir%\rundll32.exe:*:Enabled:rundll32
donde %sysdir% es el directorio de sistema de Windows.
Consigue agregarse a la lista de programas autorizados por el cortafuegos.
Método de Propagación
Goldun.TB llega al ordenador en un mensaje de correo electrónico en inglés con las siguientes características:

Asunto: Your internet access is going to get suspended
Mensaje:

Your internet access is going to get suspended

The Internet Service Provider Consorcium was made to protect the rights of software authors, artists.
We conduct regular wiretapping on our networks, to monitor criminal acts.

We are aware of your illegal activities on the internet wich were originating from

You can check the report of your activities in the past 6 month that we have attached. We strongly advise you to stop your activities regarding the illegal downloading of copyrighted material of your internet access will be suspended.

Sincerely
ICS Monitoring Team

El mensaje simula ser un aviso del ICS a través del que notifican la suspensión de la conexión a Intenet del usuario debido a la descarga de material con copyright.
Archivo adjunto:

El mensaje contiene un archivo adjunto comprimido en ZIP llamado USER-EA49943X-ACTIVITIES.ZIP, y que supuestamente corresponde a un informe de la actividad de Internet de los últimos 6 meses.

Si se descomprime este archivo y se ejecuta el archivo con extensión EXE, se descargará una copia de Goldun.TB en el ordenador afectado.
Sin embargo, Goldun.TB no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Otros Detalles

Goldun.TB tiene un tamaño de 34931 Bytes. Este troyano está comprimido mediante UPX.


Enviado con fecha: 18-09-2008 16:56:28 - Visto: 2156 veces.


Ver Antivirus gratis - Volver al Índice de Virus.

Información extraida de la Web de Panda Antivirus.


Foro Virus
Tengo un virus test.reg y no consigo eliminarlo.
Ayuda para eliminar babylon.
Como descargo antivirus.
Memorias infectadas.
Telefono samsung f480 lento y se me olvido contraseñ.
Pc se bloquea al conectar disco duro.
Que antivirus me recomiendan para mi laptop.
El antivirus indica: ke la pc no esta protegida.
Como elimino un bootstrapper_0-uvdhqmap_.
Como apagar el x7.






Ver también:
Goldun.tb - trj/goldun.tbGoldun.tb - trj/goldun.tb »






Configurarequipos TVBajar Antivirus gratisCual es mi IPTest velocidadTrucosADSL
OverclockingForo ADSLDiccionarioWirelessMapa Segunda manoTiendas de informatica
Blog TecnologíaÚltimos VirusManualesSeguridadMapa ForoOrdenadores segunda mano

Aviso LegalPolitica de Privacidad
PORTADADirectorio



Buscar: en
ConfigurarEquipos.com® - 12 Noviembre 2019 | Informática Windows | Mapa Web | Foro Ayuda