Troj/Infostealer.Banker.E

INFOSTEALER.BANKER.E troyano backdoor extrae información de sistema roba información bancaria, etc.

Troj/Infostealer.Banker.E

Infostealer.Banker.E es un troyano con un componente Backdoor, reportado el 18 de Octubre del 2007, que ingresa furtivamente a los sistemas a través de diversos servicios de Internet tales como Telnet y puertos TCP 80 y 8080 (HTTP).

Substrae información del sistema, muestra falsos formularios de bancos roba información confidencial y la envía a servidores remotos ubicados en Rusia y Alemania.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP/Vista y Server 2003, escrito en MS Visual C++ con una extensión de 52KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ingresar a un sistema crea un Mutex de nombre "mut" para evitar ejecutarse más de una vez y se copia a la carpeta %System% como: tns1.dll conf.dat (contiene relación de bancos) crea las siguientes sub-llaves: [HKEY_LOCAL_MACHINE\Software\MRSoft "1" = "[Carecteres_encriptados]" [HKEY_LOCAL_MACHINE\Software\MRSoft] "P" = "[Valores_Hexadecimales]"

Seguidamente registra el archivo tns1.dll como unBHO (Browser Helper Object) para cuyo efecto crea las siguientes sub-llaves:

[HKEY_LOCAL_MACHINE\Software\Classes\CLISD\{775B738B-4540-4b16-A1DA-932C402FD8F7}
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{775B738B-4540-4b16-A1DA-932C402FD8F7}

para ejecutarse la próxima vez que se re-inicie el sistema crea la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"default" = "%System%\tns1.dll"

Al siguiente inicio del equipo el troyano inserta su código viral en las páginas de las entidades financieras que visite el usuario del sistema infectado y el Internet Explorer muestra un falso formulario de ingreso que solicita ser llenado con información confidencial tal como:

PIN ATM de 3 dígitos
Número de Seguro Social
Fecha de nacimiento
Contraseña de acceso al formulario del supuesto banco

El troyano captura además de la información ingresada:

Contraseñas protegidas de Windows
Contraseñas de formularios "autocompletar" del Internet Explorer
Cuentas de correo y contraseñas

El archivo tns1.dll ejecuta su componente Backdoor y a través del puerto TCP 80 se conecta a los siguientes servidores remotos:

http://login.osmp.ru (ubicado en Rusia)
https://www.cortalconsors.de (ubicado en Alemania)
http://www.gad.de (ubicado en Alemania)

estableciendo contacto con uno de los archivos:

[Servidor_remoto]/test3.php
[Servidor_remoto]/u.php
[Servidor_remoto]/c.php
[Servidor_remoto]/ca.php
[Servidor_remoto]/nu.php
[Servidor_remoto]/sl.php

a donde enviará la información que el troyano almacenó en la carpeta %System% dentro de uno de los siguientes archivos:

cmds.txt
alog.txt
di1.gif
dr1.gif
cookie1.dat
rc.dat
ps1.dat
te.dat
bb1.dat
cs.dat
boa1.dat
conf1.dat

El Backdoor del troyano podrá ejecutar uno de las siguientes acciones, en forma remota:

Descargar y ejecutar el archivo %System%\file.exe
Reiniciar el equipo
Ejecutar programas de sistema
Cargar una nueva configuración del troyano
Desinstalar el troyano
Borrar cookies del Internet Explorer
Agregar mensajes de texto al archivo del servidor
Borrar C:\ntldr y C:\ntdetect.com

PER ANTIVIRUS® versiones 10.2 y 10.3 con registro de virus al 18 de Octubre del 2007 detectan y eliminan eficientemente este troyano.