Enciclopedia Virus - Ontinet.com

	acerca de
	contacto
	términos y condiciones
	glosario


	> buscador


	> búsqueda avanzada



	principal
	alertas
	listas de correo
	noticias
	bulos
	enciclopedia
	virus
	envío de muestras
	para webmasters


Herramientas contra: (c) Paolo Monti





	Enciclopedia Virus es una página de

VIRUS:

WIN32/SPY.BANKER.SO

descripción

nombre:

Win32/Spy.Banker.SO

aliases:

TR/Spy.Banker.so.6, Trojan.Spy.Banker.BJ, Trojan.PWS.Banker.730, Win32/Spy.Banker.SO, TR/Spy.Banker.so.6, TR/Spy.Banker.so.6, Trojan.Spy.Banker.BJ, Trojan.PWS.Banker.730, Trojan-Spy.Win32.Banker.so, Win32/Spy.Banker.SO, Trj/Banker.TQ, Trojan-Spy.Win32.Banker.so, PWSteal.Bancos, Trojan.PWS.Banker.730

tipo:

Troyano

fecha:

09/06/2005

gravedad general:

distribución:

daño:

tamaño:

806,794 Bytes

destructivo:

origen:

Desconocido

nombre asignado por:

ESET


>	INFORMACION
	Troyano programado en Borland Delphi que roba datos del equipo infectado, luego son enviados a una dirección electrónica predeterminada.

CARACTERISTICAS

Cuando se ejecuta, el troyano puede copiar uno o varios archivos en la siguiente ubicacion:

C:\Windows\System\[nombre de archivo]

Para autoejecutarse en cada reinicio crea la siguiente entrada en el registro de Windows:

HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
[valor] = [ruta y nombre del archivo]

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

El troyano permanece en memoria y monitorea las ventanas del navegador abiertas por el usuario. Cuando éste accede a determinadas páginas, pertenecientes a instituciones bancarias, captura la salida del teclado, capturando datos críticos, como por ejemplo nombre de usuario, datos de tarjetas de créditos, números de cuentas bancarias, y todo lo que el usuario ingrese en cualquier formulario dentro de varios sitios.

Algunos sitios posibles:

Alfanet.com.br
Bancosantos.com.br
Banespa.com.br
Banestado.com.br
Banestes.com.br
Bankboston.com.br
Banrisul.com.br
Bb.com.br
Bradesco.com.br
Caixa.com.br
Cef.gov.br
Hsbc.com.br
Itau.com.br
Santander.com.br
Serasa.com.br
Sudameris.com.br
Home.citidirect-br.citibank.com
Ib.beg.com.br
Bancobrasil.com.br
Rural.com.br

La información capturada es almacenada en un archivo que luego será enviado a una dirección electrónica predeterminada.

El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.

Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.

El troyano posee una característica que lo hace visible, y podría alertar a un usuario prevenido. Cuando se ejecuta, puede mostrar una ventana con el siguiente mensaje:

Run time error
[ OK ]

INSTRUCCIONES PARA ELIMINARLO

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a los archivos anotados en el paso 3, en la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.

NOTA: Se sugiere cambiar todas las contraseñas y otra información crítica que pudiera haber sido robada de su computadora, incluidos los datos de su tarjeta de crédito y cuentas bancarias.

ALERTAS | NOTICIAS | ENCICLOPEDIA | PARA WEBMASTERS

términos y condiciones | ayuda | contacto | acerca de