WIN32/SPY.BANKER.OLC
> INFORMACION
Troyano que intenta robar información relacionada con las transacciones comerciales y bancarias del usuario infectado, relacionadas con sucursales de bancos argentinos.
> CARACTERISTICAS
Cuando se ejecuta, examina si ya ha sido instalado en la máquina actual. Si no existe, crea uno o varios archivos en la siguiente ubicación:
c:\windows\system32\[nombre de archivo]
Crea la siguiente entrada en el registro de Windows, para ejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
[valor] = c:\windows\system32\[nombre de archivo]
Donde [valor] es un nombre al azar.
Permanece en memoria y monitorea las ventanas del navegador abiertas por el usuario. Cuando éste accede a determinadas páginas, pertenecientes a instituciones bancarias, captura la salida del teclado.
La información capturada es almacenada en un archivo que luego será enviado a una dirección electrónica predeterminada.
El siguiente mutex es creado para marcar su presencia en la memoria:
RioParanaZao…
Algunos de los textos presentes en su código:
No es posible acceder a la información solicitada.
Clave de Itaú Home Banking es inválida.
Para para tener acceso a su cuenta, ingresse su
Clave de la Tarjeta Electrónica Itaú
Para para tener acceso a su cuenta, ingresse su
clave para transferéncias numérica de 8 dígitos
No es posible acceder a la información solicitada.
Su Clave Santander Río de 4 dígitos es inválida.
http[s://]ihb1. itau. com. ar/ homebanking/ login.do
> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
5. Elimine bajo la columna “Nombre”, la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
5. Cierre el editor del Registro del sistema.
6. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.
Gracias por leer este post.Ahora puede dejar su Comentario (0) o enlazarnos.
Post Info
Esta entrada fue publicada el Viernes, Octubre 26th, 2007 y esta archivada en la categoria Malware y virus.Puedes seguir cualquier respuesta a esta entrada a través de Comentarios Feed. Puedes dejar un Comentario, o enlazarnos.
Post Previos: Phishing que crea cuenta en Google Checkout »
Nuevos Post: Windows Live Messenger, configuración segura. »
Leer más
Post Relacionados:Similares
- No se encuentran entradas relacionadas
- Google Chrome: El navegador web de Google ya está disponible
- USB 3.0 “Superspeed”
- IE VPCs: Descarga gratis Vista RTM, XP SP2 y XP SP3, con las imágenes de disco duro VPC
- Pantallazos negros en XP SP3 al regresar de la hibernación en ordenadores multiprocesador
- Falsas actualizaciones de Windows XP y Vista
- Antivirus en línea desde Firefox
- Renombra archivos en Windows XP obviando la extensión con Phlox
- XP SP3 VS Vista SP1: Situación actual de la adopción de los service packs
- Antivirus XP 2008 ahora es MS Antivirus
- Dos falsos programas de descargas de archivos utilizados para distribuir el adware Lop
