Bancos.BA
Troyano para la plataforma Windows que es capaz de disminuir la configuración de seguridad de ciertos navegadores y aplicaciones. Además es capaz de descargar ficheros de su elección en el ordenador.
Detalles técnicos
Peligrosidad:4 – Alta
Troyano para la plataforma Windows que es capaz de disminuir la configuración de seguridad de ciertos navegadores y aplicaciones. Además es capaz de descargar ficheros de su elección en el ordenador.
Peligrosidad:4 – Alta
Cuando Bancos.BA se ejecuta, realiza las siguientes acciones:
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings Valor: "ProxyHttp1.1" = "0"
Modifica la entrada del registro
Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem Valor: "EnableLUA" = "0"
Modifica la configuración del navegador Internet Explorer
Desactiva la notificación cuando se recibe una cerficación no válida:
Clave: HKCUSOFTWAREMicrosoftWindowsCurrentVersionInternet Settings Valor: "WarnonBadCertRecving" = "0"
Desactiva Windows User Account Controls (UAC), que notifica al usuario cuando los programas intentan hacer modificaciones en el ordenador:
Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem Valor: "EnableLUA" = "0"
Desactiva el uso de HTTP 1.1:
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings Valor: "ProxyHttp1.1" = "0"
Modifica la configuración del navegador Firefox
Si Firefox está instalado en el ordenador, el troyano modifica el fichero «prefs.js» que contiene las configuraciones del navegador:
El troyano establece la seguridad de Java de tal forma que se pueda ejecutar cualquier código con la seguridad deshabilitada.
Además, intenta conectarse a las siguientes direcciones IP para descargar ficheros:
Los ficheros descargados son guardados como «%TEMP%antimalware.exe». Bancos.BA también modifica la siguiente entrada del registro para ejecutarse automáticamente con cada reinicio del sistema Windows:
Clave: HKLMSoftwareMicrosoftWindowsCurrentVersionRun Valor: "Windows Lives" = "%TEMP%antimalware.exe"
Nota: %Temp% es una variable que representa la carpeta temporal de Windows.
Por defecto puede ser C:Windowstemp (XP/Vista y 7), C:Winnttemp (Windows NT/2000), C:documents and settings{nombre de usuario}local settingstemp (Windows XP) o C:Usuarios{nombre de usuario}AppDataLocalTemp (Windows Vista y 7).
Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem Valor: "EnableLUA" = "0"
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings Valor: "ProxyHttp1.1" = "0"
Clave: HKCUSOFTWAREMicrosoftWindowsCurrentVersionInternet Settings Valor: "WarnonBadCertRecving" = "0"
Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem Valor: "EnableLUA" = "0"
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings Valor: "ProxyHttp1.1" = "0"
Clave: HKLMSoftwareMicrosoftWindowsCurrentVersionRun Valor: "Windows Lives" = "%TEMP%antimalware.exe"
Gusano para la platforma Windows que se propaga a través de la funcionalidad de mensajería instantánea de Facebook y de otras aplicaciones de MI como AIM, Google Talk o MSN. Además, instala un componente malicioso que le permite propagarse a través de redes sociales.
Capacidad de autopropagación: Sí
Se propaga de las siguientes maneras:
Red Social – Comunidad Virtual.
Se propaga mediante programas de Mensajería instantánea, como MSN Messenger o AIM.
Se propaga enviando mensajes que contienen enlaces a copias de sí mismo a través de la mensajería instánea de Facebook y de los siguientes programas de mensajería instantánea:
El enlace malicioso es el siguiente:
Cuando Stekct.EVL se ejecuta, realiza las siguientes acciones:
Clave:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList Valor: %Windows%iqs.exe = "%Windows%iqs.exe:*:Enabled:MSN Messenger"
Crea la siguiente entrada del registro para modificar la conexión del cortafuegos y poder conectarse a Internet
Clave:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList Valor: %Windows%iqs.exe = "%Windows%iqs.exe:*:Enabled:Microsoft Firevall Engine"
Crea la siguiente entrada del registro para ejecutarse de nuevo con cada reinicio del sistema
Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionTerminal ServerInstallSoftwareMicrosoftWindowsCurrentVersionRun Valor: Microsoft Firevall Engine = "%Windows%iqs.exe"
Crea la siguiente entrada del registro para ejecutarse de nuevo con cada reinicio del sistema
Clave: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Valor: Microsoft Firevall Engine = "%Windows%iqs.exe"
Crea la siguiente entrada del registro para ejecutarse de nuevo con cada reinicio del sistema
Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Valor: Microsoft Firevall Engine = "%Windows%iqs.exe"
Se conecta a los siguientes servidores remotos para enviar información y recibir comandos:
Finaliza los procesos o servicios en ejecución que contengan alguna de las siguientes cadenas de texto y elimina los archivos relacionados:
El malware descarga otro código malicioso, llamado Eboom-AC por Trend Micro, que puede realizar las siguientes acciones en redes sociales como Facebook, MySpace, Twitter, WordPress y Meebo:
Para más información se pueden consultar las siguientes páginas web:
Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:Winnt (Windows NT/2000) o C:Windows (XP/Vista y 7).
Nota: A Menudo los antivirus informan de que ‘no puede reparar un fichero’ en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Valor: Microsoft Firevall Engine = "%Windows%iqs.exe"
Clave: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Valor: Microsoft Firevall Engine = "%Windows%iqs.exe"
Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionTerminal ServerInstallSoftwareMicrosoftWindowsCurrentVersionRun Valor: Microsoft Firevall Engine = "%Windows%iqs.exe"
Clave:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList Valor: %Windows%iqs.exe = "%Windows%iqs.exe:*:Enabled:Microsoft Firevall Engine"
Clave:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList Valor: %Windows%iqs.exe = "%Windows%iqs.exe:*:Enabled:MSN Messenger"
2 comentarios
I enjoy what you guys tend to be up too. This kind of clever work
and exposure! Keep up the superb works guys I’ve included you guys to my own blogroll.
I read this article fully on the topic of the difference of most recent and
earlier technologies, it’s awesome article.
Deja un comentario