| Nombre común: BankoLimb.BW
Nombre técnico: Trj/BankoLimb.BW
Peligrosidad: Media
Tipo: Troyano
Efectos: Roba los datos bancarios a los usuarios de cierta entidad bancaria británica. Cuando acceden a la página web de dicho banco, el troyano añade campos extras a los que solicita la página web legítima y captura la información introducida. No se propaga automáticamente por sus propios medios.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 17/11/2008
Detección actualizada: 26/11/2008
Estadísticas No
Descripción Breve
BankoLimb.BW es un troyano que está diseñado para robar los datos bancarios de los usuarios de cierta entidad bancaria británica. Para ello, cuenta con una lista de URLs correspondientes a dicha entidad bancaria.
Cuando el usuario accede a alguna página web que coincida con las de dicha lista, el troyano se activa y añade campos extras a los que solicita la propia página web legítima.
Toda la información introducida será capturada por el troyano y enviada a cierta página web.
BankoLimb.BW no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Efectos
BankoLimb.BW está diseñado para robar los datos bancarios de los usuarios de cierta entidad bancaria británica. Para ello, realiza el siguiente proceso:
Se registra como BHO (Browser Helper Object) para monitorizar las páginas web a las que accede el usuario.
Este troyano cuenta con un lista de URLs pertenecientes a la entidad bancaria que va a monitorizar.
Cuando el usuario accede a alguna página web cuya URL coincida con alguna de las de la lista del troyano, este se activará e inyectará código html extra en dicha página. Esto le permite solicitar información extra además de la que se solicita en la página web legítima de la entidad bancaria.
Toda la información que introduzca el usuario en dicha página web será capturada por el troyano.
Después, envía estos datos encriptados a la siguiente dirección:
googleprar2/datas.php
Además, desde esta dirección puede recibir instrucciones de manera remota, como conseguir información del ordenador, direcciones de correo electrónico del usuario o contraseñas almacenadas por el navegador.
Metodo de Infección
BankoLimb.BW crea los siguientes archivos en el directorio de sistema de Windows:
JETACCSS.DLL. Esta DLL se registra como BHO (Browser Helper Object) para monitorizar las páginas web a las que el usuario accede. Además, se encarga de enviar los datos robados de forma encriptada y de recibir instrucciones remotamente.
%nombre aleatorio%.DAT. Se trata de un archivo en formato xml que contiene las URLs de la entidad bancaria que va a monitorizar.
BankoLimb.BW crea las siguientes entradas en el Registro de Windows:
HKEY_CLASSES_ROOT\ CLSID\ {47D92EB6-E52C-4cda-92A6-2369963F4913}\ InprocServer32
Default = jetaccss.dll
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows\ CurrentVersion\ Explorer\ Browser Helper Objects\ {47D92EB6-E52C-4cda-92A6-2369963F4913}
Mediante estas entradas, BankoLimb.BW consigue registrarse como BHO y ejecutarse cada vez que Windows se inicia.
HKEY_LOCAL_MACHINE\ SOFTWARE\ MRSoft
Método de Propagación
BankoLimb.BW no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
BankoLimb.BW está escrito en el lenguaje de programación Visual C++. Este troyano tiene un tamaño de 55808 Bytes.
|
|