pwsteal.tarno.r, downloader-atm, troj/clagger-d, trojan-downloader.win32.agent.ado, win32/clagger!generic, win32/clagger.5944!trojan
tipo: troyano downloader
tama?o: 5,592 bytes, 267,366 bytes
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.9, registro de virus al 20/01/2006.
trojan/tarno.r , es un troyano que intenta robar nombres de usuario, contrase?as e informaci?n que el usuario ingrese en determinado sitios web. el componentes downloader del troyano llega adjunto en un mensaje de e-mail del tipo spam.
caracter?sticas del mensaje de e-mail:
asunto: error:your credit card overdraft exceed!
cuerpo:
dear customer!
we are unable to obtain payment from the credit card on file for your fashionshop account. your credit card company returned the
following error to us:
the overdraft exceed
please contact your credit card company to resolve this matter, or log into your account now to change your credit card information.
(see your account details in attachment)
order details:
date: 01/19/06
order number is: 1185501
you have ordered the following:
price
ring 1 1170.80
ring 2 850.70
setup fee 29.00
+vat 14.52
_____________________________
total in gbp: 2065.02
if your charges are not approved within two weeks, your account will automatically close.
we value your business, and hope you act quickly to keep your fashionshop account. thank you for your prompt attention to this matter,
and for being a member of the worlds leading jewellers shop service.
sincerely,
fashionshop billing service.
www.fashionshop.co.uk
____________________________
thank you for choosing ccbill as the emerchant for your subscription!
archivo adjunto: file1185.exe
------------------------
al ejecutarse el archivo adjunto este intentar? descargar la parte principal del troyano desde la siguiente ubicaci?n:
http://scaredback.com/[ removido] /ndppbzn.exe
seguidamente el troyano crea la siguiente entrada en el registro para cambiar las configuraciones del firewall de windows, de esta manera habilita a su archivo en la lista de excepciones del firewall.
hkey_local_machine\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\
authorizedapplications\list\1185.exe:*:enabled:earthwormjimm
luego se copia a si mismo con todos sus componentes dentro de:
system \svchost.dll system \winsetup.exe nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
seguidamente registra el archivo svchost.dll como un browser help object (bho), de esta manera se ejecuta cada vez que se inicia el internet explorer.
luego crea las siguientes entradas:
hkey_classes_root\clsid\{3a4e6ff3-bf59-446e-9dc8-731bce2f349a} hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects\{3a4e6ff3-bf59-446e-9dc8-731bce2f349a} hkey_local_machine\software\classes\svchost.update monitorea por ventanas y p?ginas web con los siguientes textos:
gold cash bank pas log user usr pwd psw parol firma pin clave trans porcue memorable secret seguidamente captura todas las pulsaciones de teclado que se realiza dentro de dichas ventanas y p?ginas web, la informaci?n es guardada dentro de alguno de los siguientes archivos:
system \wint.ini system \ierror.rep system \sui.dll c:\update.sys el troyano puede ser configurado remotamente, crea las siguientes carpetas que pueden ser utilizadas para guardar archivos de configuraci?n o extensiones:
\abrams system \arcada system \svact system \svcontr system \svskn env?a un id num?rico del computador atacado a un atacante remoto utilizando una solicitud http get
http://williamell .com/[removido]/navigator.php?tid=id[id_numerico]
finalmente env?a peri?dicamente informaci?n obtenida en el computador atacado a un atacante remoto utilizando las siguientes solicitudes http post:
http://williamell .com/[removido]/reporter.php

Comentarios (0) - Votos (0) - leido 101