Nibu.J

NIBU.J troyano/backdoor roba información envía a una dirección en portal ruso bloquea acceso a sitios web...

Troj/Nibu.J

Nibu.J es un troyano/backdoor residente en memoria reportado el 05 de Julio del 2005, que ingresa furtivamente a los sistemas a través de cualquier puerto TCP que se encuentre abierto. Activa un componente Keylogger y roba información que envía por correo a un portal ruso.

Manipula el archivo HOSTS para impedir el acceso a sitios web de sistemas de seguridad.

Roba información relacionada a cuentas de correo, usuarios y contraseñas de un portal de pagos global y los passwords recuperados por algunos programas especializados, de origen ruso.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con una extensión de 27.5 KB y comprimido con el utilitario FSG:

http://www.exetools.com

Al ser ingresar a un sistema se copia al directorio %Windir% y a la carpeta %System% con los nombres:

%Windir%\dvpd.dll
%Windir%\prntsvra.dll
%System%\winldra.exe

libera además los siguientes archivos:

%Windows%\netdx.dat %Temp%\fe43e701.htm

después de instalarse se reporta a la dirección web http://www.kimartz.biz (ubicada en Rusia) actualmente desactivada por el FBI.

y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "load32" = "%System%\winldra.exe" [HKEY_CURRENT_USER\Software\SARS] %System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003. %Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003. Al siguiente inicio activa su componente Keylogger que captura las teclas digitadas, cada vez que el sistema se conecta a un sitio en la web que tenga cualquiera de las siguientes cadenas o nombres de dominio: Bookmak bookmak Casino casino e-metal Fethard fethard Invest invest Keeper Member member Money money PayPal Storm WM Keeper dominios: 365online.co abbey.co aeacu.com alliance-leicesterbusinessbanking.co ameritrade.com bankofscotland.co barclays.co citibank.com e-gold.com emocorp.com enternetbank.com etrade.co firstdirect.co halifax.co hsbc.co intgold.com jacksonstatebank.com lloydstsb.co natwest.co netmastergold.co plainscapital.com rbs.co smile.co uboc.com virginone.co zurichbank.co

roba además información relacionada a cuentas de correo, usuarios y contraseñas recuperadas por determinados programas:

Contraseñas de cuentas de correo POP3 Contraseñas de FTP recuperadas por Far Manager Contraseñas de The Bat passwords Contraseñas de Total Commander FTP ID de usuarios de WebMoney (portal de pagos global) captura pantallazos del portapapeles (clipboard), almacenando toda esta información en el archivo PRNTC.LOG, y luego hace uso de su propio motor SMTP para enviarla a una dirección de correo cifrada, ubicada en: http://www.yandex.ru modifica el archivo HOSTS para impedir el acceso a las siguientes direcciones: avp.com ca.com customer.symantec.com dispatch.mcafee.com download.mcafee.com f-secure.com kaspersky.com liveupdate.symantec.com liveupdate.symantecliveupdate.com mast.mcafee.com mcafee.com my-etrust.com nai.com networkassociates.com rads.mcafee.com secure.nai.com securityresponse.symantec.com sophos.com symantec.com trendmicro.com update.symantec.com updates.symantec.com us.mcafee.com us.mcafee.com/root/ viruslist.com www.avp.com www.ca.com www.f-secure.com www.kaspersky.com www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.trendmicro.com www.viruslist.com www.symantec.com PER ANTIVIRUS® versión 9.3 con registro de virus al 05 de Julio del 2005 detecta y elimina eficientemente este troyano/backdoor.