Banker.D

BANKER.D troyano/backdoor de Internet roba información de bancos ejecuta comandos y acciones remotas, etc.

Troj/Infostealer.Banker.D

Banker.D es un troyano/backdoor reportado el 28 de Mayo del 2007 que se propaga a través de diversos servicios de Internet, incluyendo mensajes de correo y mostrando un falso formulario "phishing" roba infomación bancaria de los usuarios desprevenidos.

Su componente Backdoor se conecta a uno de tres sitios web ubicados en Ukrania, descarga archivos y ejecuta comandos arbitrarios en forma remota.

Infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está está programado en Visual C++ con 75KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al activarse crea el Mutex HelperMutex para evitar ejecutarse más de una vez en un sistema.

se copia a la carpeta %System% como un falso BHO (Browser Helper Object) que puede tener uno de los siguientes nombres:

torm.dll
coman.dll
helper.dll
torm1.dll
coman1.dll
helper1.dll

y registra uno de esos archivos .dll como un BHO (Browser Helper Object) al ejecutar el comando:

regsvr32/s [Ruta_al_troyano_BHO].DLL

libera además uno de los siguientes archivos de configuración XML, que contienen una relación de bancos:

%System%\helper.sys
%System%\helper.xml

crea las siguientes entradas de registro:

[HKEY_LOCAL_MACHINE\Software\Helper]
"DName" = [Cadena_encriptada1]
[HKEY_LOCAL_MACHINE\Software\Helper]
"Dom" = [Valores_Hexadecimales]
[HKEY_LOCAL_MACHINE\Software\Helper]
"GUID" = [Cadena_encriptada2]

luego crea las siguientes sub-llaves y borra el archivo ejecutable copiado:

[HKEY_LOCAL_MACHINE\Software\Classes\CLISD\[Troyano_BHO_CLSID]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\[Ruta_al_Troyano_ BHO_Dll]

[Troyano_ BHO_ CLSID] puede ser uno de los valores:

{60FD4F58-4748-48f6-b661-5fce71b0d907}
{327C3AF0-4EF6-4F8A-9A8D-685a4815D9F8}
{AE1AA4FA-C3A2-4c33-90CD-69DD021A35C8}

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

El troyano accede a una de las URL contenidas en el archivo de configuración XML y muestra una pantalla "phishing":

que bajo la modalidad BHO ( Browser Helper Object) cambia de instancias, mostrando campos adicionales a ser llenados por usuarios incautos.

La información será capturada por sus autores, que además pueden robar contraseñas de Windows, formularios de Internet Explorer y datos de cuentas de correo.

Actuando como Backdoor, a través del puerto TCP 80 intenta conectarse a los siguientes sitios web:

www.ggg.org.ua (ubicado en Ukrania)
www.skytrip.org (ubicado en Ukrania)
www.semechkiandchebureki.com (ubicado en Ukrania y alusivo a Palestina tomada)

para descargar los siguientes archivos:

/newuser.php (para notificar al autor sobre las infecciones)
/mail.php (componente de envío de mensajes de correo)
/upload.php (componente para enviar información capturada al autor)
/command.php (componente para recibir y ejecutar comandos remotos)
/commandback.php (componente para recibir y ejecutar comandos remotos)

Para almacenar la información capturada e intercambiar comandos con el sistema remoto del atacante, el troyano libera los archivos:

%System%\wab.dat
%System%\ps.dat
%System%\cookie.dat
%System%\boa.dat
%System%\alog.txt
%System%\commands.xml
%System%\tns.dll

El Backdoor puede ejecutar entre otras, las siguientes acciones arbitrarias:

Reiniciar el sistema
Descargar remotamente el archivo file.exe a la carpeta %System%
Ejecutar en forma remota cualquier programa
Cragar un nuevo archivo de XML de configuración
Desinstalar el troyano
Borrar los cookies del Internet Explorer
Manipular el archivo HOSTS
Borrar archivos del sistema

PER ANTIVIRUS® versión 10.1 con registro de virus al 28 de Mayo del 2007 detecta y elimina eficientemente este troyano/backdoor.