Proyectos, Noticias, Experiencias, pruebas...

Nuevos virus – 23/05/2012

Bancos.BA

 

Troyano para la plataforma Windows que es capaz de disminuir la configuración de seguridad de ciertos navegadores y aplicaciones. Además es capaz de descargar ficheros de su elección en el ordenador.

 

Detalles técnicos

Peligrosidad:4 – Alta

 

 

Propagación

Carece de rutina propia de propagación. Puede llegar al sistema de las siguientes maneras:
  • Descargado por otro código malicioso o descargado sin el conocimiento del usuario al visitar una página Web infectada.
  • Descargarlo de algún programa de compartición de ficheros (P2P).

 

Infección/Efectos

Cuando Bancos.BA se ejecuta, realiza las siguientes acciones:

Ficheros y carpetas
  1. Crea el siguiente fichero
    • “%Temp%antimalware.bat”
Claves y entradas del registro
  1. Modifica la entrada del registro
    • Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings 
      Valor: "ProxyHttp1.1" = "0"

    Modifica la entrada del registro

    • Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem 
      Valor: "EnableLUA" = "0"
Otros detalles

Modifica la configuración del navegador Internet Explorer

Desactiva la notificación cuando se recibe una cerficación no válida:

Clave: HKCUSOFTWAREMicrosoftWindowsCurrentVersionInternet Settings
Valor: "WarnonBadCertRecving" = "0"

Desactiva Windows User Account Controls (UAC), que notifica al usuario cuando los programas intentan hacer modificaciones en el ordenador:

Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem
Valor: "EnableLUA" = "0"

Desactiva el uso de HTTP 1.1:

Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings
Valor: "ProxyHttp1.1" = "0"

Modifica la configuración del navegador Firefox

Si Firefox está instalado en el ordenador, el troyano modifica el fichero “prefs.js” que contiene las configuraciones del navegador:

  • Desactivado de las actualizaciones automáticas y manuales
  • Establece a nulo la URL de autoactualización
  • Establece un proxy para la configuración URL de proxy automático.

El troyano establece la seguridad de Java de tal forma que se pueda ejecutar cualquier código con la seguridad deshabilitada.

Además, intenta conectarse a las siguientes direcciones IP para descargar ficheros:

  • 113.30.103.253
  • 112.136.179.79

Los ficheros descargados son guardados como “%TEMP%antimalware.exe”. Bancos.BA también modifica la siguiente entrada del registro para ejecutarse automáticamente con cada reinicio del sistema Windows:

Clave: HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Valor: "Windows Lives" = "%TEMP%antimalware.exe"

 

Contramedidas

Desinfección
  • Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar nuestras guías sobre la Restauración en Windows XP o la Restauración en Windows Vista.
  • En caso de que no pueda volver a un punto de Restauración anterior o no le funcione, es recomendable que desactive temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Vista, XP y Me. A continuación siga estos pasos para la eliminación del virus:
    1. Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual de Cómo iniciar su computadora en Modo a prueba de fallos.
    2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos.Elimine los siguientes ficheros:
      • %Temp%antimalware.bat

      Nota: %Temp% es una variable que representa la carpeta temporal de Windows.
      Por defecto puede ser C:Windowstemp (XP/Vista y 7), C:Winnttemp (Windows NT/2000), C:documents and settings{nombre de usuario}local settingstemp (Windows XP) o C:Usuarios{nombre de usuario}AppDataLocalTemp (Windows Vista y 7).

    3. Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
      En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña ‘Procesos’ pulse con el botón derecho en el proceso y seleccione ‘Terminar Proceso’. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección “Administrador de Tareas”, de la página Eliminar librerías .DLL o .EXE.
    4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.Restaure las siguientes entradas del registro al valor por defecto:
      Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem
      Valor: "EnableLUA" = "0"
      Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings
      Valor: "ProxyHttp1.1" = "0"
      Clave: HKCUSOFTWAREMicrosoftWindowsCurrentVersionInternet Settings
      Valor: "WarnonBadCertRecving" = "0"
      Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem
      Valor: "EnableLUA" = "0"
      Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings
      Valor: "ProxyHttp1.1" = "0"
      Clave: HKLMSoftwareMicrosoftWindowsCurrentVersionRun
      Valor: "Windows Lives" = "%TEMP%antimalware.exe"
    5. Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.
    6. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

 

 

Stekct.EVL

 

Gusano para la platforma Windows que se propaga a través de la funcionalidad de mensajería instantánea de Facebook y de otras aplicaciones de MI como AIM, Google Talk o MSN. Además, instala un componente malicioso que le permite propagarse a través de redes sociales.

 

Detalles técnicos

 

 

Propagación

Capacidad de autopropagación: 

Se propaga de las siguientes maneras:

Red Social – Comunidad Virtual

Red Social – Comunidad Virtual.

Mensajería Instantánea

Se propaga mediante programas de Mensajería instantánea, como MSN Messenger o AIM.

Otro mecanismo de propagación

Se propaga enviando mensajes que contienen enlaces a copias de sí mismo a través de la mensajería instánea de Facebook y de los siguientes programas de mensajería instantánea:

  • AIM
  • Google Talk
  • ICQ
  • MSN
  • Yahoo! Messenger

El enlace malicioso es el siguiente:

  • http://bit.ly/K8sluf?{ALEATORIO}

 

Infección/Efectos

Cuando Stekct.EVL se ejecuta, realiza las siguientes acciones:

Ficheros y carpetas
  1. Crea el siguiente fichero
    • “%Windir%iqs.exe”
Claves y entradas del registro
  1. Crea la siguiente entrada del registro para modificar la conexión del cortafuegos y poder conectarse a Internet
    • Clave:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList
      Valor: %Windows%iqs.exe = "%Windows%iqs.exe:*:Enabled:MSN Messenger"

    Crea la siguiente entrada del registro para modificar la conexión del cortafuegos y poder conectarse a Internet

    • Clave:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList
      Valor: %Windows%iqs.exe = "%Windows%iqs.exe:*:Enabled:Microsoft Firevall Engine"

    Crea la siguiente entrada del registro para ejecutarse de nuevo con cada reinicio del sistema

    • Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionTerminal ServerInstallSoftwareMicrosoftWindowsCurrentVersionRun 
      Valor: Microsoft Firevall Engine = "%Windows%iqs.exe"

    Crea la siguiente entrada del registro para ejecutarse de nuevo con cada reinicio del sistema

    • Clave: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 
      Valor: Microsoft Firevall Engine = "%Windows%iqs.exe"

    Crea la siguiente entrada del registro para ejecutarse de nuevo con cada reinicio del sistema

    • Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 
      Valor: Microsoft Firevall Engine = "%Windows%iqs.exe"
Otros detalles

Se conecta a los siguientes servidores remotos para enviar información y recibir comandos:

  • {BLOQUEADO}.{BLOQUEADO}.228.202
  • news.{BLOQUEADO}dio.net
  • safe.{BLOQUEADO}dio.net

Finaliza los procesos o servicios en ejecución que contengan alguna de las siguientes cadenas de texto y elimina los archivos relacionados:

  • AntiVirService
  • AviraUpgradeService
  • MSASCui.exe
  • MsMpEng.exe
  • MsMpSvc
  • WinDefend
  • YahooAUService
  • YahooAUService.exe
  • avgnt.exe
  • avp
  • avp.exe
  • egui.exe
  • ekrn
  • ekrn.exe
  • kavsvc.exe
  • msseces.exe
  • wuauserv

El malware descarga otro código malicioso, llamado Eboom-AC por Trend Micro, que puede realizar las siguientes acciones en redes sociales como Facebook, MySpace, Twitter, WordPress y Meebo:

  • Recopilar información de los posts.
  • Borrar mensajes.
  • Enviar mensajes con enlaces maliciosos para propagarse.

Para más información se pueden consultar las siguientes páginas web:

 

 

Contramedidas

Desinfección
  • Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de “Restauración del Sistema” para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar nuestras guías sobre la Restauración en Windows XP o la Restauración en Windows Vista.
  • En caso de que no pueda volver a un punto de Restauración anterior o no le funcione, es recomendable que desactive temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Vista, XP y Me. A continuación siga estos pasos para la eliminación del virus:
    1. Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual de Cómo iniciar su computadora en Modo a prueba de fallos.
    2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos.Elimine el siguiente fichero:
      • %Windir%iqs.exe

      Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
      Por defecto es C:Winnt (Windows NT/2000) o C:Windows (XP/Vista y 7).

      Nota: A Menudo los antivirus informan de que ‘no puede reparar un fichero’ en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

    3. Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
      En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña ‘Procesos’ pulse con el botón derecho en el proceso y seleccione ‘Terminar Proceso’. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección “Administrador de Tareas”, de la página Eliminar librerías .DLL o .EXE.
    4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.Elimine las siguientes entradas del registro:
      Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
      Valor: Microsoft Firevall Engine = "%Windows%iqs.exe"
      Clave: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
      Valor: Microsoft Firevall Engine = "%Windows%iqs.exe"
      Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionTerminal ServerInstallSoftwareMicrosoftWindowsCurrentVersionRun
      Valor: Microsoft Firevall Engine = "%Windows%iqs.exe"
      Clave:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList
      Valor: %Windows%iqs.exe = "%Windows%iqs.exe:*:Enabled:Microsoft Firevall Engine"
      Clave:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList
      Valor: %Windows%iqs.exe = "%Windows%iqs.exe:*:Enabled:MSN Messenger"
    5. Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.
    6. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

2 Comentarios

  1. 31 diciembre, 2013    

    I enjoy what you guys tend to be up too. This kind of clever work
    and exposure! Keep up the superb works guys I’ve included you guys to my own blogroll.

  2. 11 abril, 2014    

    I read this article fully on the topic of the difference of most recent and
    earlier technologies, it’s awesome article.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


*

    Translate to:

Categorías