Spy.Banker.CKW. Roba información de cuentas bancarias

Compartir

Nombre: Spy.Banker.CKW
Nombre NOD32: Win32/Spy.Banker.CKW
Tipo: Caballo de Troya
Alias: Spy.Banker.CKW, Backdoor.Haxdoor, Infostealer.Bancos, Logger.Banker.ckw, PSW.Banker3.ECQ, Spy/Banker, TR/Spy.Banker.ckw.1, Trojan.Spy.Win32.Banker.EDF1, Trojan/Spy.Banker.ckw, Trojan-Spy.Win32.Banker.ckw, W32/Banker.ADVX, Win32/Spy.Banker.CKW
Fecha: 12/mar/07
Actualizado: 14/mar/07
Plataforma: Windows 32-bit
Tamaño: 59,904 bytes

Se trata de un troyano que intenta robar información relacionada con las transacciones comerciales y bancarias del usuario infectado.

Puede ser descargado por otros troyanos.

Cuando se ejecuta, examina si ya ha sido instalado en la máquina actual. Si no existe, crea uno o varios archivos en la siguiente ubicación:
c:\windows\system32\[nombre de archivo]

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

Crea la siguiente entrada en el registro de Windows, para autoejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[valor] = c:\windows\system32\[nombre de archivo]

Donde [valor] es un nombre al azar.

El troyano permanece en memoria y monitorea las ventanas del navegador abiertas por el usuario. Cuando éste accede a determinadas páginas, pertenecientes a instituciones bancarias, captura la salida del teclado, capturando datos críticos, como por ejemplo nombre de usuario, datos de tarjetas de créditos, números de cuentas bancarias, y todo lo que el usuario ingrese en cualquier formulario dentro de varios sitios.

La información capturada es almacenada en un archivo que luego será enviado a una dirección electrónica predeterminada.

Utiliza técnicas de rootkit para esconder sus propios archivos, procesos, servicios, y entradas en el registro.

Un rootkit es una herramienta que permite esconder actividades intrusas dentro de un sistema. Suelen proveer al atacante de vías de acceso ocultas para utilizar nuevamente el sistema en futuras oportunidades. El nombre se origina a partir de la idea de que quien lo utiliza puede acceder fácilmente al nivel de root, o de administrador del sistema, una vez que la herramienta ha sido instalada.

El troyano evita ser borrado o que sea finalizada su ejecución.

También puede llegar a deshabilitar otros programas, incluyendo antivirus y cortafuegos.

El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.

Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.


---------------------------------------------------------------------------------------------------
REPARACION MANUAL

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
---------------------------------------------------------------------------------------------------
Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados por el Antivirus.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro de Windows

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run


3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

6. Cierre el editor del registro.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Fuente: VSANTIVIRUS
[hr]


Archivo HOSTS | Antivirus NOD32 | Agnitum Outpost Firewall
Compartir
  #1  
Creado: 14-Mar-2007, a las 22:57 Vistas: 585
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)