• Registrarse
  • Iniciar sesión


  • Resultados 1 al 1 de 1

    ALERTA: Bankpatch.D Otro peligro para los datos personales

    Bankpatch.D Hola a todos Este troyano guarda cierto parecido con el ya publicado BANKER.LSL pero este tiene la peculiaridad de que no solo se limita a robar datos bancarios y claves de cuentas, si no ...

          
    1. #1
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.290

      ALERTA: Bankpatch.D Otro peligro para los datos personales

      Bankpatch.D


      Hola a todos

      Este troyano guarda cierto parecido con el ya publicado BANKER.LSL pero este tiene la peculiaridad de que no solo se limita a robar datos bancarios y claves de cuentas, si no que trata por todos los medios de "amoldar" el sistema afectado para evitar ser eliminado y convertirlo en un lanzador para infectar a otros equipos de la misma red (recuerda bastante al Conficker).

      DESCRIPCIÓN BREVE

      Troyano para plataforma Windows que roba datos del ordenador infectado, nombres de usuario y contraseñas de las páginas de acceso a bancos.

      Peligrosidad: 2 - Baja

      Difusión: Baja Fecha de Alta:13-04-2009
      Última Actualización:13-04-2009
      Daño: Alto

      Dispersibilidad: Bajo

      Nombre completo: Trojan.W32/Bankpatch.D

      Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
      Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003

      Alias:Trojan.Bankpatch.D (Symantec)

      SOLUCION MANUAL STANDART


      Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar nuestras guías sobre la Restauración en Windows XP o la Restauración en Windows Vista.


      En caso de que no pueda volver a un punto de Restauración anterior o no le funcione, es recomendable que desactive temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Vista, XP y Me. A continuación siga estos pasos para la eliminación del virus:
      1. Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual de Cómo iniciar su computadora en Modo a prueba de fallos.
      2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos.

      Elimine los siguientes ficheros:
      o %System%\pwrcode.dat
      o %System%\wincode.dat
      o %System%\krncode.dat
      o %System%\sysk.tmp (Copia de kernel32.dll)
      o %System%\sysp.tmp (Copia de powrprof.dll)
      o %System%\sysw.tmp (Copia de wininet.dll)
      o %System%\osysk.dat (Copia de kernel32.dll)
      o %System%\osysp.dat (Copia de powrprof.dll)
      o %System%\osysw.dat (Copia de wininet.dll)
      o %System%\kernel32.dll
      o %System%\powrprof.dll
      o %System%\wininet.dll
      o %System%\nsysk.ini (Trojan.Bankpatch.C!inf)
      o %System%\nsysp.ini (Trojan.Bankpatch.C!inf)
      o %System%\nsysw.ini (Trojan.Bankpatch.C!inf)
      o %System%\ldshyf1.old
      o %System%\cock dir
      o %System%\xmldm
      o %System%\xmldm dir
      o %System%\lodupgd.jpg

      En caso de poder determinar exactamente el nombre de los ficheros siguientes, elimínelos.
      o %System%\(caracteres_aleatorios).txt
      o %System%\(caracteres_aelatorios).dll

      Nota:

      %System% es una variable que hace referencia al directorio del sistema de Windows. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

      Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
      3. Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
      En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña 'Procesos' pulse con el botón derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección "Administrador de Tareas", de la página Eliminar librerías .DLL o .EXE.
      4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

      Elimine las siguientes entradas del registro:

      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh\

      Valor: "prh" = "[http://]asmmnation.com"

      Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\

      Valor: "prd" = "[http://]asmmnation.com"

      Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\

      Valor: "USF" = "06\00SO"

      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\

      Internet Settings\new


      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\

      Internet Settings\tst


      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\

      Internet Settings\w8


      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
      Internet Settings\task\(digitos)\GUID

      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
      Internet Settings\task\(digitos)\FROM

      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
      Internet Settings\task\(digitos)\UPD

      5. Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.
      6. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

      INFECCION Y EFECTOS

      Se copia a sí mismo con los nombres:

      * %System%\pwrcode.dat
      * %System%\wincode.dat
      * %System%\krncode.dat

      Nota:

      %System% es una variable que hace referencia al directorio del sistema de Windows. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

      A continuación crea los ficheros:

      * %System%\sysk.tmp (Copia de kernel32.dll)
      * %System%\sysp.tmp (Copia de powrprof.dll)
      * %System%\sysw.tmp (Copia de wininet.dll)
      * %System%\osysk.dat (Copia de kernel32.dll)
      * %System%\osysp.dat (Copia de powrprof.dll)
      * %System%\osysw.dat (Copia de wininet.dll)

      El troyano inyecta código en los ficheros:

      * %System%\kernel32.dll
      * %System%\powrprof.dll
      * %System%\wininet.dll

      Los ficheros modificados son detectados como Trojan.Bankpatch.C!inf y su tamaño se incrementa en 4 Kb.

      También crea los ficheros:

      * %System%\nsysk.ini (Trojan.Bankpatch.C!inf)
      * %System%\nsysp.ini (Trojan.Bankpatch.C!inf)
      * %System%\nsysw.ini (Trojan.Bankpatch.C!inf)

      El troyano inyecta código en cada fichero de biblioteca de enlace dinámico.

      El troyano modifica la APIs de %System%\kernel32.dll:

      * CreateFileW
      * CreateProcessInternalW

      Modifica las siguientes APIs de %System%\wininet.dll:

      * HttpSendrequestA
      * HttpSendRequestW
      * InternetConnectA
      * InternetCrackUrlA
      * InternetOpenA
      * InternetOpenW

      Modifica las siguientes APIs de %System%\powrprof.dll:

      * SetSuspendState
      * GetActivePwrScheme

      El hilo, crea el fichero siguiente, que contiene una copia cifrada del ejecutable del troyano:

      * %System%\ldshyf1.old

      A continución crea las siguientes entrada en el registro para almacenar su configuración:

      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh\

      Valor: "prh" = "[http://]asmmnation.com"

      Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\

      Valor: "prd" = "[http://]asmmnation.com"

      Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\

      Valor: "USF" = "06\00SO"

      También crea las siguientes entradas en el registro para almacenar su datos de configuración:

      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\

      Internet Settings\new


      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\

      Internet Settings\tst


      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\

      Internet Settings\w8


      El troyano intenta ejecutar el siguiente comando para desinstalar JAVA del ordenador:

      * cmd.exe /c javasw -uninstall

      Intenta reiniciar el ordenador después de un cierto periodo de tiempo para cargarse en memoria.

      Cuando el ordenador se reinicia, el hilo, monitoriza la el navegador cuando accedemos a direcciones web de bancos.

      `La información obtenida la manda al siguiente servidor Web remoto.

      * http://asmmnation.com

      Verifica la conectividad del equipo con la página principal de google.com.

      Entonces envía la siguiente petición al servidor remoto:

      * http://asmmnation.com/index.php?id=(pais)_(Letras_UID) &check=(comando)&version=(nºde_versión_del_troyano)

      El troyano trata de robar los ficheros de las cookies que contengan una de las siguientes cadenas en su nombre:

      * 2o7
      * 53[
      * action.mathtag
      * adbrite
      * advanta
      * advertising
      * al.netminers
      * amagerbanken
      * andelskassen
      * apmebf
      * atdmt
      * banken
      * bankofamerica
      * basisbank
      * bridgetrack
      * casalemedia
      * chase
      * citi.
      * citibank
      * coremetrics
      * danskebank
      * diba[THREE RANDOM CHARACTERS].txt
      * discovercard
      * djs
      * djs-netbank
      * doubleclick
      * e-finance
      * ebh-bank
      * fastclick
      * fih[
      * fioniabank
      * forbank
      * froes
      * fsb.netminers
      * handelsbanken
      * himmerland
      * hitbox
      * homebanking
      * huntington
      * hvidbjergbank
      * ic-live
      * ingdirect
      * instadia
      * interclick
      * juniper
      * key
      * langspar
      * lillespar
      * liveperson
      * lokalbanken
      * lokalsparekassen
      * lollandsbank
      * lpk[THREE RANDOM CHARACTERS].txt
      * lsb.netminers
      * lsb[THREE RANDOM CHARACTERS].txt
      * maxbank
      * maxbank
      * middelfartsparekasse
      * midspar
      * midtfjord
      * moensbank
      * morsbank
      * morsoesparekasse
      * nationalcity
      * nationalcitycardservicesonline
      * nationalirishbank
      * navyfcu
      * nykredit
      * pensam
      * peoples
      * pnc[
      * portalbank
      * prod.bec
      * realmedia
      * regions
      * revsci
      * riba[THREE RANDOM CHARACTERS].txt
      * ringkjoebing-bank
      * roiservice
      * roskildebank
      * ru4
      * sallingbank
      * sbbank
      * sparbank
      * sparekassen
      * sparekassenfaaborg
      * sparekassenthy
      * sparfar
      * sparhobro
      * sparhvetbo
      * sparkron
      * sparlolland
      * sparnebel
      * sparnord
      * sparoj
      * sparostjyl
      * sparsalling
      * sparskals
      * statistik-gallup
      * totalbanken
      * track.adform
      * trafficmp
      * tribalfusion
      * usbank
      * vestjyskbank
      * vinderupbank
      * vorbank
      * wachovia
      * wamu
      * websteronline
      * webtrendslive
      * wellsfargo
      * www.al-bank
      * yieldmanager
      * zedo

      Los ficheros de cookies obtenidos, los almacena en:

      * %System%\cock dir

      También crea el siguiente directorio en almacenar los ficheros de confiruación del servidor remoto, así como las información obtenida del sistema infectado:

      * %System%\xmldm

      El troyano registra las pulsaciones del teclado y las almacena en:

      * %System%\xmldm dir

      Busca los siguientes plugins en el navegador Internet Explorer cuando se inicia:

      * e-Safekey
      * JAVA
      * EBJSecurity_3

      Crea las subblaves del registro siguientes para descargar mas componentes al ordenador:

      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
      Internet Settings\task\(digitos)\GUID

      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
      Internet Settings\task\(digitos)\FROM

      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
      Internet Settings\task\(digitos)\UPD

      También descarga los siguientes ficheros y los registra como Objetos de ayuda al navegador:

      * %System%\(caracteres_aleatorios).txt
      * %System%\(caracteres_aelatorios).dll

      Tambien puede descargar una actualización del troyano con el nombre:

      * %System%\lodupgd.jpg

      El troyano muede desencriptar el fichero %System%\ldshyf1.old original, para prevenir que sea eliminado.

      También ejecuta el fichero desde:

      * %temp%

      Fuente

      Descripcion segun Symantec

      Tengan cuidado con las descargas, asegúrense de que están limpias subiéndolas a Virustotal, de igual modo desconfíen de adjuntos o links sospechosos

      Suerte amigos
      Última edición por Herrante fecha: 13/04/09 a las 08:11:17
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.