W32/Debanpass

Infecta la raíz de todas las unidades de disco, incluyendo los dispositivos de almacenamiento removibles USB.

Captura la información digitada en formularios de acceso a entidades bancarias y la envía a una dirección web en China.

Infecta Windows 98/NT/Me/2000/XP/Vista y Server 2003, está desarrollado en Assembler con una extensión de apenas 33,260 bytes.

Al activarse se copia a las siguientes rutas con nombres de archivos configurados en forma aleatoria:

• %System%\crase.exe (contiene un componente Rootkit)
• %System%\winebay.exe
• %System%\url.tmp
• %System%\dde.st
• C:\tmpsss.log
• C:\xxjsnxx.tmp
• [Unidad_de_disco]\autorun.inf

Para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%System%\userinit.exe,,crase.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el gusano se copia a la raíz de todas las unidades de disco existentes en el sitema y en aquellas conectadas dentro de una red local (LAN) con recursos compartidos, incluyendo unidades de almacenamiento removibles. 

Monitorea el Internet Explorer y busca las siguientes cadenas:

• CN
• SIGN IN
• M/X/J
• PLEASE SIGN IN
• Y/Y/P/A/A
• ACCEDI
• YDL
• IDENTIFICARSE
• XBY
• EINLOGGEN
• R/D/D
• EBAY - SIGN IN
• M/F
• EBAY
• INLOGGEN
• H/B
• OUVRIR UNE
• ZALOGUJ
• [Mensaje_en_chino]

Captura información de formularios de acceso a bancos en el momento que el usuario la digita y envía a un sitio web en Beijing, China:

http://www.ddebay.com/[Removido]

PER ANTIVIRUS® versiones 10.2 y 10.3 con registro de virus al 17 de Octubre del 2007 detectan y elimina eficientemente este gusano.