OT: Sobre la nueva plaga de virus (NO ES UNA BROMA)

28/12/2005 - 16:34 por El Nazgûl | Informe spam
Esto es lo que me han enviado de Virus Alerts sobre los últimos virus
(especialmente el foto.exe)

Salu2 desde Utumno
El Nazgûl ;-)

Neither life, nor dead.
There is no life in this void.

- Un nuevo troyano-espía burla la seguridad de bancos on-line pudiendo
conseguir las claves privadas de miles de usuarios hispanoparlantes -

Virus Alerts, por Panda Software (http://www.pandasoftware.es)

Madrid, 27 de diciembre de 2005 - Hace sólo unas horas ha aparecido un nuevo
troyano que se distribuye a través de Messenger: Nabload.U. Dicho troyano
descarga otro troyano, Banker.BSX, que ya se ha colocado en el puesto número
1 en detecciones de la aplicación gratuita y on-line Panda ActiveScan. Su
objetivo parecen ser conseguir las contraseñas de usuarios de habla hispana
que accedan a la banca on-line de una serie de direcciones que lleva en su
código, casi todas entidades bancarias de Venezuela y de otros países
hispanohablantes.

La principal novedad que aporta este troyano es su capacidad para capturar
información confidencial del usuario (login y password para acceder a su
banco de forma on-line) sin necesidad de utilizar tradicionales capturadores
de teclado (keyloggers) y lo hace sin ningún conocimiento por parte del
usuario. Esto demuestra que las medidas que las entidades bancarias han
tomado para evitar este tipo de robo de claves, como introducir un teclado
virtual para que el usuario introduzca sus claves, son insuficientes.

Una vez el autor tiene dichas claves, puede acceder de forma on-line a
dichas cuentas y cometer robos económicos que perjudique seriamente tanto a
usuarios particulares como a empresas.

Según Luis Corrons, director de PandaLabs: "Este troyano es un ejemplo de
mezcla de técnicas híbridas que es capaz de hacer que el usuario haga clic
en la URL, descargar un troyano y poner en prácticas técnicas de spyware y
phishing cuando el usuario va a su banco. Sin duda, se trata de un troyano
diseñado para cometer robos económicos de forma rápida sin dejar pistas ni
alertar al usuario de que algo pasa en su equipo".

Nabload.U utiliza la ingeniería social para conseguir que el usuario, sólo
con una frase en castellano, "ve esa vaina
http://hometown.%eliminado%.au/mira...exe", haga clic en un link
que le proporciona. Se camufla haciéndose pasar por un contacto del usuario.
Una vez el usuario accede a dicha URL, se descarga otro troyano, Banker.BSX.
También puede ofrecer otras dos URLs alternativas:
http://hometown.%eliminado%.au/arqarq/coco2006.jpg o
http://hometown.%eliminado%.au/modn...o2006.jpg, que descarga un
fichero de configuración donde, entre otros datos, puede encontrarse la
dirección de correo a la que el troyano enviará las contraseñas robadas.

Dicho troyano abre el puerto 1106 y se queda residente. De esta manera,
cuando el usuario intenta acceder a algunas de las direcciones de bancos que
se muestran a continuación, el troyano-espía es capaz de capturar todo lo
que el usuario hace en la pantalla, incluyendo las claves de acceso a su
banco que teclee mediante teclados virtuales. Las direcciones en las que el
troyano puede capturar información son las siguientes:

https://secure2.venezolano.com/
https://e-bdvcp.banvenez.com
https://www.ibprovivienda.com.ve/personas/
https://banco.micasaeap.com/individualmc/
https://olb.todo1.com/servlet/msfv/
https://www.banesco.com/servicios_e...os_pag.htm
https://www.banesconline.com
https://www.provinet.net/shtml/
https://bod.bodmillenium.com
https://www.corp-line.com.ve/personas/

Una vez ha capturado la información, el troyano envía dichos datos a una
cuenta de correo, que el hacker tiene potestad de cambiar siempre que
quiera. Una vez que dichas claves están en poder del autor del gusano, éste
puede hacer cualquier cosa con ellas, incluyendo el robo económico, que
puede perjudicar seriamente tanto a usuarios domésticos como a particulares.

Para ayudar al mayor número de usuarios a analizar y/o desinfectar
puntualmente sus equipos, Panda Software ofrece gratuitamente -en
http://www.pandasoftware.es/home/default.asp - la solución antimalware
online Panda ActiveScan, que ahora también detecta spyware. Además, los
webmasters pueden ofrecer este mismo servicio a los visitantes de sus
páginas web mediante la inclusión de un código HTML que pueden obtener
gratuitamente en http://www.pandasoftware.es/partners/webmasters/

Las tecnologías de detección proactiva TruPreventTM detectan y eliminan
eficazmente a Banker.BSX sin necesidad de actualizaciones, por lo que los
equipos que disponen de ellas han estado protegidos desde el momento de la
aparición de este troyano.

Más información sobre Nabload.U y Banker.BSX en la Enciclopedia de Panda
Software http://www.pandasoftware.es/virus_i...clopedia/.
 

Leer las respuestas

#1 Guillermo Peralta
28/12/2005 - 13:21 | Informe spam
Gracias por la información...
Ayer justamente un cliente fue invadido por ese virus...
Tal como dice el informe en cuestion de segundos se le propago a todos los
contactos del messenger...

Un saludo
Guillermo

"El Nazgûl" <KingNazCONVIERTE[arroba]ESTOgmail.com> escribió en el mensaje
news:
Esto es lo que me han enviado de Virus Alerts sobre los últimos virus
(especialmente el foto.exe)

Salu2 desde Utumno
El Nazgûl ;-)

Neither life, nor dead.
There is no life in this void.

- Un nuevo troyano-espía burla la seguridad de bancos on-line pudiendo
conseguir las claves privadas de miles de usuarios hispanoparlantes -

Virus Alerts, por Panda Software (http://www.pandasoftware.es)

Madrid, 27 de diciembre de 2005 - Hace sólo unas horas ha aparecido un
nuevo troyano que se distribuye a través de Messenger: Nabload.U. Dicho
troyano descarga otro troyano, Banker.BSX, que ya se ha colocado en el
puesto número 1 en detecciones de la aplicación gratuita y on-line Panda
ActiveScan. Su objetivo parecen ser conseguir las contraseñas de usuarios
de habla hispana que accedan a la banca on-line de una serie de
direcciones que lleva en su código, casi todas entidades bancarias de
Venezuela y de otros países hispanohablantes.

La principal novedad que aporta este troyano es su capacidad para capturar
información confidencial del usuario (login y password para acceder a su
banco de forma on-line) sin necesidad de utilizar tradicionales
capturadores de teclado (keyloggers) y lo hace sin ningún conocimiento por
parte del usuario. Esto demuestra que las medidas que las entidades
bancarias han tomado para evitar este tipo de robo de claves, como
introducir un teclado virtual para que el usuario introduzca sus claves,
son insuficientes.

Una vez el autor tiene dichas claves, puede acceder de forma on-line a
dichas cuentas y cometer robos económicos que perjudique seriamente tanto
a usuarios particulares como a empresas.

Según Luis Corrons, director de PandaLabs: "Este troyano es un ejemplo de
mezcla de técnicas híbridas que es capaz de hacer que el usuario haga clic
en la URL, descargar un troyano y poner en prácticas técnicas de spyware y
phishing cuando el usuario va a su banco. Sin duda, se trata de un troyano
diseñado para cometer robos económicos de forma rápida sin dejar pistas ni
alertar al usuario de que algo pasa en su equipo".

Nabload.U utiliza la ingeniería social para conseguir que el usuario, sólo
con una frase en castellano, "ve esa vaina
http://hometown.%eliminado%.au/mira...exe", haga clic en un link
que le proporciona. Se camufla haciéndose pasar por un contacto del
usuario. Una vez el usuario accede a dicha URL, se descarga otro troyano,
Banker.BSX. También puede ofrecer otras dos URLs alternativas:
http://hometown.%eliminado%.au/arqarq/coco2006.jpg o
http://hometown.%eliminado%.au/modn...o2006.jpg, que descarga un
fichero de configuración donde, entre otros datos, puede encontrarse la
dirección de correo a la que el troyano enviará las contraseñas robadas.

Dicho troyano abre el puerto 1106 y se queda residente. De esta manera,
cuando el usuario intenta acceder a algunas de las direcciones de bancos
que se muestran a continuación, el troyano-espía es capaz de capturar todo
lo que el usuario hace en la pantalla, incluyendo las claves de acceso a
su banco que teclee mediante teclados virtuales. Las direcciones en las
que el troyano puede capturar información son las siguientes:

https://secure2.venezolano.com/
https://e-bdvcp.banvenez.com
https://www.ibprovivienda.com.ve/personas/
https://banco.micasaeap.com/individualmc/
https://olb.todo1.com/servlet/msfv/
https://www.banesco.com/servicios_e...os_pag.htm
https://www.banesconline.com
https://www.provinet.net/shtml/
https://bod.bodmillenium.com
https://www.corp-line.com.ve/personas/

Una vez ha capturado la información, el troyano envía dichos datos a una
cuenta de correo, que el hacker tiene potestad de cambiar siempre que
quiera. Una vez que dichas claves están en poder del autor del gusano,
éste puede hacer cualquier cosa con ellas, incluyendo el robo económico,
que puede perjudicar seriamente tanto a usuarios domésticos como a
particulares.

Para ayudar al mayor número de usuarios a analizar y/o desinfectar
puntualmente sus equipos, Panda Software ofrece gratuitamente -en
http://www.pandasoftware.es/home/default.asp - la solución antimalware
online Panda ActiveScan, que ahora también detecta spyware. Además, los
webmasters pueden ofrecer este mismo servicio a los visitantes de sus
páginas web mediante la inclusión de un código HTML que pueden obtener
gratuitamente en http://www.pandasoftware.es/partners/webmasters/

Las tecnologías de detección proactiva TruPreventTM detectan y eliminan
eficazmente a Banker.BSX sin necesidad de actualizaciones, por lo que los
equipos que disponen de ellas han estado protegidos desde el momento de la
aparición de este troyano.

Más información sobre Nabload.U y Banker.BSX en la Enciclopedia de Panda
Software http://www.pandasoftware.es/virus_i...clopedia/.


Preguntas similares