|
Troj/Yabe.QQ
Yabe.QQ es un destructivo troyano reportado el 17 de Julio del 2006, activo en memoria, que se propaga a través de falsos mensajes de correo, supuestamente enviados por la popular tienda virtual en línea eBay, e infecta con un archivo de nombre ipf.exe, que es descargado en forma automática desde una dirección IP aleatoria.Libre además a la ruta %System%\drivers, un archivo no infectado, de nombre Winut.dat la que contiene una lista de direcciones IP.
Intenta intenta conectarse a diversas direcciones URL, desde las que descargará archivos infectados con diversos nombres y extensiones, para lo cual deshabilitará el Firewall de Windows.
También emplea el "pishing" que es una modalidad de estafa financiera a través de Internet usando como método principal el envío de falsos mensajes de correo con contenidos de ingeniería social para invitar o conminar a que algunos usuarios incautos caigan en su trampa.
Por lo general utilizan un enlace a una página web determinada, con un gráfico como contenido, bastando con hacer un click en cualquier parte del mismo para ser re-direccionado al falso formulario que suplanta a una supuesta página web del portal de subastas en línea de ebBay.
Es un PE (Portable Ejecutable) infecta Windows 98/NT/Me/2000/XP y Server 2003, está escrito en MS Visual C++ con una extensión de 18KB y comprimido con el utilitario PeX:
http://protools.anticrack.de/packers.htm
Este troyano usa una sub-carpeta de un portal en Shangai (China):
http://www.gotonets.com (Shanghai B&T Network and Telecom Inc.)
El mensaje tiene las siguientes características:
Remitente: eBay Inc [support_num_31973@ebay.com]
Asunto: Official information to all eBay Inc clients
Contenido:
al hacer click en el gráfico, ya que no es un contenido de texto, se redirecciona a una dirección IP aleatoria.
en la cual muestra el siguiente primer falso formulario:
|
|||
|
|
|||
|
|
||
|
|
|||
|
|
New to eBay? |
|
Already an eBay user? | ||||||||||||||||||||||||||||||
|
|
|
|
|
|
|||||||||||||||||||||||||||||
|
|
|
||||||||||||||||||||||||||||||||
|
|
You can also register or sign in using the following service: | ||||||||||||||||||||||||||||||||
|
|
|
||||||||||||||||||||||||||||||||
|
|
 About eBay | Announcements | Security Center | Policies | Site Map | Help |
|
|
|
|
|
|
|
|||
| eBay official time |
el usuario puede ingresar cualquier dirección de correo y contraseña, incluso inexistentes y se muestra el segundo falso formulario:
|
|
|
|
||||
|
|
|
|||
|
|
||||
|
|
|
||
|
|
|||
|
|
|||
|
|
|||
|
| eBay official time |
Al ingresar a un sistema se copia a la carpeta %System%, con el nombre de ipf.exe, y para activarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IPF" = "%System%\ipf.exe"
Al siguiente inicio del equipo, el troyano intenta conectarse a diversas direcciones URL, desde la cual descargará archivos infectados con diversos nombres y extensiones.
Para lograr este objetivo deshabilita el Firewall de Windows, creando las siguientes llaves:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[ruta_de_troyano_con_archivo].* = "[ruta_de_troyano_con_archivo]*:Enabled:[nombre_archivo_sin_extensión]"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
%System%\ipf.exe = "%System%\ipf.exe*:Enabled:ipf"
PER ANTIVIRUS® versiones 9.7 y 9.8 con registro de virus al 17 de Julio del 2006 detectan y eliminan este troyano, asimismo recomienda jamás ejecutar un archivo anexado o enlace (link) dentro de un mensaje de correo de remitente sospechoso o desconocido.
Asimismo no llenar formularios que simulen pertenecer a portales legítimos.
