Webmoney

WEBMONEY, peligroso troyano/backdoor, realiza transacciones ilegales de dinero a través de Internet.

Troj/Webmoney, Win32.Small.n, Trojan.WebMoney.WMPatch

WebMoney es un peligroso troyano/backdoor reportado el 05 de Marzo del 2003, que se propaga a través de mensajes de correo, que contiene una supuesta tarjeta de saludo. No anexa ningún archivo y solo afecta a los sistemas que emplean el software Webmoney Transfer, que es utilizado para transferir dinero a cualquier destinatario, cuenta bancaria o realizar pagos en tiendas virtuales a través de Internet:

http://www.wmtransfer.com

Este troyano muestra la posibilidad de substraer dinero de algunos sistemas basados en la web.

Al hacer click en el enlace de la dirección donde se encuentra la supuesta tarjeta de postal, se muestra una caja de diálogo con un falso mensaje e error:

Luego si se hace clic en "OK" el navegador se conecta al sitio web www.yahoo-greeting-cards.com desde donde descargará dos archivos:

DBOLE.EXE
SICKBOY.EXE

Ambos archivos son PE (Portable Ejecutables) e infectan Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP, están desarrollados en Visual C++ y comprimidos con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

El archivo SICKBOY.EXE se copia a la carpeta %System% con el nombre de SYSVIEW.EXE, el cual crea las siguientes llaves de registro, para activarse la próxima vez que se re-inicie el sistema:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
DatabaseOLE = "%System%\dbole.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
SystemView = "%System%\sysview.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

DBOLE.EXE inserta su código viral en el archivo WMClient.dll, que es un componente del software WebMoney, para poder interceptar la información transmitida. Este archivo DBOLE.EXE es ejecutado tan solo una vez y crea una marca en el registro para no volver a activarse.

El archivo SYSVIEW.EXE que actúa como Backdoor, intenta ubicar la ventana del "WebmoneyKeeper" y en caso de hallarla configura el controlador de la hora (Timer) del sistema, con un valor de "2", consecuentemente cada cada 2 minutos enviará la información capturada a la dirección de correo sickboy@centrum.cz, que es real y actualmente activa.

Posee su propio SMTP (Simple Mail Transfer Protocol) y usa la dirección IP 62.84.131.172 que corresponde a data.centrum.cz, ubicado en Checoslovaquia y envía mensajes a todos los buzones contenidos en el cTmail, el sistema de envío de correo basado en la web, o los que son capturados en archivos del sistema infectado, con 3 archivos anexados:

wmlog.bin
wmkey.bin
wmmem.bin

Los payloads de este troyano/backdoor son los siguientes:

Captura información de la configuración de los sistemas infectados.
Captura información las claves de acceso y nombres de los usuarios de Webmoney.
Captura información de las operaciones y puede transferir dinero a otras cuentas.
Control de Acceso Remoto de los archivos y programas de los sistemas atacados.
Envía mensajes masivos de correo a través de su propio SMTP con 3 archivos anexados.

PER ANTIVIRUS® versión 7.9 con registro de virus al 05 de Marzo del 2003 detecta y elimina eficientemente este troyano/backdoor.