|
Troj/Silentbanker
Silentbanker es un troyano/backdoor reportado el 18 de Diciembre del 2007, que se propaga vía webs exprosefamente infectadas con exploits o hasta mensajes de correo MultiSPAM.
Su componente backdoor extrae información crítica del sistema, teclas digitadas, etc. y las envía a dos direcciones web ubicadas en Dinamarca y los Estados Unidos.
Infecta a Windows 98/NT/2000/XP/Vista y Server 2003, está desarrollado en Assembler, con extensiones de 54,189 bytes y 98,304 bytes respectivamente y no está encriptado.
Una vez ingresado al sistema se copia a la carpeta %System% con algunos de los siguiente nombres de archivos:
siguiendo el siguiente patrón:
[Caracteres_aleatorios][Dígitos_aleatorios]
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32]
"midi1" = "%System%\[Caracteres_aleatorios][Dígitos_aleatorios].dll"
Con lo cual deshabilita el sonido del sistema en la ejcución de archivos MIDI.
Al siguiente inicio del equipo del sistema el gusano activa su componente Backdoor y captura información crítica del sistema incluyendo nombres de usuarios, contraseñas, captura imagenes, teclas digitadas, etc. y las envía a través de un puerto TCP abierto a los URL's
Pudiendo:
PER ANTIVIRUS® versión 10.3 con registro de virus al 18 de Diciembre del 2007 detecta y elimina este troyano.
