|
KASSBOT.D destructivo gusano/backdoor deshabilita antivirus roba contraseñas de bancos, financieras, etc.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Kassbot.D, Kassbot.D/IRC
|
|
Kassbot.D es un destructivo gusano/backdoor reportado el 19 de Mayo del 2005, que se propaga a través de Redes con recursos compartidos configuradas con contraseñas débiles. infectándolas con un un
archivo de nombre Windesktop.exe.
Captura y envía información al intruso a través de un canal cifrado del IRC (Internet Chat Relay) y realiza un serie de acciones nocivas o hasta destructivas.
Deshabilita antivirus, modifica la información en el sistema, permite el ingreso de intrusos, borra archivos y roba información.
|
Modifica el archivo HOSTS para impedir el acceso a los sitios web de software antivirus. Intenta capturar teclas digitadas cuando el usuario se conecta a una larga lista de direcciones web pertenecientes a bancos o entidades financieras, con el propósito de robar nombres de usuarios y contraseñas.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server 2003
Una vez ingresado a un sistema se auto-copia a la carpeta %System% con el nombre de Spools.exe y para activarse la siguiente vez que se inicie el sistema crea las siguientes llaves de
registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Spools Service Controller" = "%System%\spools.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente re-inicio el gusano termina los procesos en ejecución de la mayoría de antivirus, software de control y de otros gusanos y troyanos que estuviesen instalados en los sistemas infectados.
Luego libera un archivo de ayuda de nombre Xee32.dll y lo copia a la carpeta %System% el cual se conecta a un canal del IRC desde donde recibirá instrucciones del intruso, pudiendo ejecutar entre otras las acciones:
- Descargar y ejecutar archivos con códigos malignos.
- Activar un servidor Proxy.
- Ejecutar ataques DoS de Negación de Servicios.
- Descargar copias actualizadas del propio gusano.
- Monitorear sesiones de Internet al visitar ciertas web de entidades bancarias.
- Capturar teclas digitadas.
- Actuar como un Relay de envío de mensajes de correo permitiendo a los intrusos rastrear las rutas de los mensajes.
- Listar y terminar procesos.
- Redireccionar peticiones HTTP para alternar sitios web.
- Listar, modificar o borrar archivos y carpetas.
- Ejecutar comando en forma arbitraria.
- Buscar en el sistema determinados archivos.
El gusano modifica el archivo HOSTS para impedir el acceso a las siguientes direcciones relacionadas a sitios web de antivirus y algunas entidades bancarias:
- barclays.co.uk
- d-eu-1f.kaspersky-labs.com
- d-eu-1h.kaspersky-labs.com
- d-eu-2f.kaspersky-labs.com
- d-eu-2h.kaspersky-labs.com
- d-ru-1f.kaspersky-labs.com
- d-ru-1h.kaspersky-labs.com
- d-ru-2f.kaspersky-labs.com
- d-ru-2h.kaspersky-labs.com
- d-us-1f.kaspersky-labs.com
- d-us-1h.kaspersky-labs.com
- downloads1.kaspersky.ru
- downloads2.kaspersky.ru
- downloads3.kaspersky.ru
- downloads4.kaspersky.ru
- downloads5.kaspersky.ru
- hsbc.co.uk
- ibank.barclays.co.uk
- kaspersky-labs.com
- kaspersky.ru
- lloydstsb.co.uk
- nwolb.com
- online.lloydstsb.co.uk
- personal.barclays.co.uk
- www.barclays.co.uk
- www.kaspersky-labs.com
- www.kaspersky.ru
- www.lloydstsb.co.uk
- www.lloydstsb.com
- www.nwolb.com
monitorea las sesiones de Internet y captura la digitación de teclas cuando detecta tráfico a las direcciones o URLs de entidades financieras.
- 194.145.64.98
- amfederal
- apobank.de
- bank.eldersruralbank.com.au
- banking.apobank.de
- banking.apobank.de
- banking.bankhaus-mayer.de
- banking.bmwbank.de
- banking.bw-bank.de
- banking.cc-bank.de
- banking.degussa-bank.de
- banking.diba.de
- banking.donner.de
- banking.elba.at
- banking.europace.ie
- banking.hypo.at
- banking.ing-diba.at
- banking.martinbank.de
- banking.privatbank.at
- banking.raiffeisen.at
- banking.santander.de
- banking.seb.de
- banking.vkb-bank.at
- baufinanzierung.dslbank.de
- billscenter.paytrust.com
- bob.bankwest.com.au
- brokerage.comdirect.de
- cash.rin.ru
- creditplus.de
- davis-company.com
- dfbonline.deutsche-factoring.de
- dws-direkt.deutsche-bank.de
- e-bank.feibbank.com
- e-bank.wuestenrot.de
- ebank.laiki.com
- ebanker.arabbank.com.au
- ebanking.bawag.com
- ebanking.bgl.lu
- ern.nnctx.com.ru
- etimebanker.bankofthewest.com
- ewm.ubs.com
- fiservdmecom
- fnc.asbbank.co.nz
- hbci-banking.allbank.de
- homebank.tsbbank.co.nz
- ib.national.com.au
- ib2.inetbank.net.au
- ibank.stgeorge.com.au
- inetbnkp.adelaidebank.com.au
- internetbanking.gad.de
- internetbanking.suncorpmetway.com.au
- investing.schwab.com
- konto.xcom-bank.de
- leu.directnet.com
- mbk.rbc.ru
- mein.raiffeisen.at
- my.banklenz.de
- my.hypovereinsbank.de
- my.ingretirementplans.com
- netbanking.sozialbank.de
- noname.de
- olb.westpac
- online-banking.weberbank.de
- online-service.allianz.de
- online.btfunds.com.au
- online.westpac.com.au
- onlineservices.amp.com.au
- personal.macquarie.com.au
- portal01.commerzbanking.de
- portal1.izb.de
- privatebanking.debema.de
- privatkunden.union-investment.de
- sec.westpac.co.nz
- secure.accu.com.au
- secure.americanfederal.net
- secure.bankone.com.au
- secure.dnetz-b2b.de
- secure.easy-car-credit.de
- secure.nationalinterbank.com
- secure.rabobank.com.au
- services.credit-suisse.de
- ssl.4alpha.de
- sso.americanexpress.com
- swkbank.de
- union-investment.de
- uniservices3.uobgroup.com
- upib.unionplanters.com
- web.cplnn.com
- web.da-us.citibank.com
- webbank.standardchartered.com
- wertpapier.schwaebische-bank.de
- ww2.homebanking-berlin.de
- www.abnamrofutures.com
- www.amazon.com
- www.americanexpress.com
- www.anb.com.sa
- www.anz.com
- www.asia.citibank.com
- www.axabanque.fr
- www.bacaf.at
- www.bamernet.hn
- www.banco-general.com
- www.banking.co.at
- www.bankingonline.de
- www.bankofindia.com
- www.bankone.com
- www.bankone.com.au
- www.banpais.hn
- www.barclaycard.de
- www.bendigobank.com.au
- www.berenbergbank.de
- www.bks-banking.at
- www.blcdirect.banquelaurentienne.ca
- www.bnz.co.nz
- www.boq.com.au
- www.bv-activebanking.de
- www.cashcards.net
- www.cebit.de
- www.cetelem.de
- www.cetelembank.de
- www.citibank.com.au
- www.cortalconsors.de
- www.creditmutuel.fr
- www.daimlerchrysler-bank.com
- www.dhbbank.com
- www.dresdner-privat.de
- www.dslstar.de
- www.e-gold.com
- www.ebank.hsbc.co.nz
- www.ebankinter.com
- www.efirstbank.com
- www.eservices.baj.com.sa
- www.fcb-e-bank.com
- www.fh-vie.ac.at
- www.firstbanks.com
- www.fiservdmecom1.net
- www.fiservdmecom1.net
- www.fiservla3.com
- www.generalibank.at
- www.global-banking.de
- www.goldpouchexpress.com
- www.hoernerbank.de
- www.kiwibank.co.nz
- www.loyalbank.com
- www.midamericabank.com
- www.mmgbank.com
- www.myaxa.de
- www.national-bank.de
- www.ncrbanks.com
- www.necu.com.au
- www.netbank-money.de
- www.netbanking.at
- www.oberbank-banking.at
- www.portal-banking.de
- www.regions.com
- www.sabadellatlantico.com
- www.saradar.com
- www.servicebank.at
- www.site-secure.com
- www.southtrust.com
- www.sovereign.com
- www.superbank.co.nz
- www.usbank.com
- www.visionsfcu.com
- www.vr-ebanking.de
- www.vr-networld-ebanking.de
- www.westlbmarkets.net
- www.winweb.seceti.it
- www.wsk-bank.at
- www0.advisernet.com.au
- www1.internet-trading1.com
- www1.netbank.commbank.com.au
- www2.bankingonline.de
PER ANTIVIRUS® versiones 9.2 y 9.3 con registro de virus al 19 de Mayo del 2005 detectan y eliminan este
troyano/backdoor.
