Hace sólo unas horas ha aparecido un nuevo troyano que se distribuye a través de Messenger: Nabload.U

Dicho troyano descarga otro troyano, Banker.BSX, que ya se ha colocado en el puesto número 1 en detecciones de la aplicación gratuita y on-line Panda ActiveScan.

Su objetivo parecen ser conseguir las contraseñas de usuarios de habla hispana que accedan a la banca on-line de una serie de direcciones que lleva en su código, casi todas entidades bancarias de Venezuela y de otros países hispanohablantes.

La principal novedad que aporta este troyano es su capacidad para capturar información confidencial del usuario (login y password para acceder a su banco de forma on-line) sin necesidad de utilizar tradicionales capturadores de teclado (keyloggers) y lo hace sin ningún conocimiento por parte del usuario.

Esto demuestra que las medidas que las entidades bancarias han tomado para evitar este tipo de robo de claves, como introducir un teclado virtual para que el usuario introduzca sus claves, son insuficientes.

Una vez el autor tiene dichas claves, puede acceder de forma on-line a dichas cuentas y cometer robos económicos que perjudique seriamente tanto a usuarios particulares como a empresas.

Según Luis Corrons, director de PandaLabs: "Este troyano es un ejemplo de mezcla de técnicas híbridas que es capaz de hacer que el usuario haga clic en la URL, descargar un troyano y poner en prácticas técnicas de spyware y phishing cuando el usuario va a su banco. Sin duda, se trata de un troyano diseñado para cometer robos económicos de forma rápida sin dejar pistas ni alertar al usuario de que algo pasa en su equipo".

Nabload.U utiliza la ingeniería social para conseguir que el usuario, sólo con una frase en castellano, "Mira mi foto >> http://hometown.%eliminado%.au/miralafoto/foto.exe", haga clic en un link que le proporciona.

Se camufla haciéndose pasar por un contacto del usuario. Una vez el usuario accede a dicha URL, se descarga otro troyano, Banker.BSX. También puede ofrecer otras dos URLs alternativas: http://hometown.%eliminado%.au/arqarq/coco2006.jpg o http://hometown.%eliminado%.au/modnatal/coco2006.jpg, que descarga un fichero de configuración donde, entre otros datos, puede encontrarse la dirección de correo a la que el troyano enviará las contraseñas robadas.

Dicho troyano abre el puerto 1106 y se queda residente. De esta manera, cuando el usuario intenta acceder a algunas de las direcciones de bancos que se muestran a continuación, el troyano-espía es capaz de capturar todo lo que el usuario hace en la pantalla, incluyendo las claves de acceso a su banco que teclee mediante teclados virtuales. Las direcciones en las que el troyano puede capturar información son las siguientes:

https://secure2.venezolano.com/
https://e-bdvcp.banvenez.com
https://www.ibprovivienda.com.ve/personas/
https://banco.micasaeap.com/individualmc/
https://olb.todo1.com/servlet/msfv/
https://www.banesco.com/servicios_electronicos_pag.htm
https://www.banesconline.com
https://www.provinet.net/shtml/
https://bod.bodmillenium.com
https://www.corp-line.com.ve/personas/

Una vez ha capturado la información, el troyano envía dichos datos a una cuenta de correo, que el hacker tiene potestad de cambiar siempre que quiera. Una vez que dichas claves están en poder del autor del gusano, éste puede hacer cualquier cosa con ellas, incluyendo el robo económico, que puede perjudicar seriamente tanto a usuarios domésticos como a particulares

Para eliminar este parásito hágale un escaneo online con "Panda ActiveScan Online."

.

En caso de que la herramienta de Panda ActiveScan no pueda eliminar el parásito también ya hay otros Antivirus como Nod32 y Ewido Security Suite que lo pueden hacer de forma automática.

También se puede emplear la forma manual usando HijackThis y KillBox para facilitar la tarea.

En HijackThis los síntomas visibles son una entrada 04 con una carpeta "services" dentro de la carpeta "System o System32" de Windows, a la cual hay que aplicarle FIX

Ejemplo:
O4 - HKLM\..\Run: [services] C:\WINDOWS\system32\service\services.exe

Para luego eliminar esta carpeta "services" que se encuentra dentro de "System o System32" con todo su contenido que es el siguiente:

C:\WINDOWS\system32\service\el.dll
C:\WINDOWS\system32\service\sent.dll
C:\WINDOWS\system32\service\service.dll
C:\WINDOWS\system32\service\services.exe

Y de todas maneras pasar al menos uno de estos "Antivirus Online"

Salu2