Enciclopedia Virus - Ontinet.com

	acerca de
	contacto
	términos y condiciones
	glosario


	> buscador


	> búsqueda avanzada



	principal
	alertas
	listas de correo
	noticias
	bulos
	enciclopedia
	virus
	envío de muestras
	para webmasters


Herramientas contra: (c) Paolo Monti





	Enciclopedia Virus es una página de

VIRUS:

WIN32/QHOST.AGY

descripción

nombre:

Win32/Qhost.AGY

aliases:

Trojan.QHost.ACL, Win32/Qhosts.BM, W32/Banhost.AGY!tr, Troj/Banhost-H

tipo:

Troyano

fecha:

21/02/2008

gravedad general:

distribución:

daño:

tamaño:

139.264 Bytes

destructivo:

origen:

Desconocido

nombre asignado por:

ESET


>	INFORMACION
	Troyano especializado en la captura de información sensible y credenciales de autenticación a una entidad bancaria del Perú.

CARACTERISTICAS

El troyano, desarrollado en el lenguaje de programación Visual Basic, se presenta como un ejecutable para Windows.

Cuando se ejecuta el troyano, realiza una copia de sí mismo en la carpeta temporal de Windows bajo el nombre de win32.exe.

A continuación el troyano ejecuta la copia win32.exe, que se encarga de eliminar el ejecutable original (postal.exe), que desaparece ante la vista del usuario, y el archivo hosts de Windows. En un sistema Windows XP por defecto lo encontraríamos en la ruta:

C:\WINDOWS\system32\drivers\etc\hosts

El troyano crea otro archivo hosts, en el mismo directorio, con el siguiente contenido:

En ese momento finaliza la ejecución del troyano, que no queda residente ni se ejecuta nuevamente tras reiniciar el sistema. El fin del troyano es únicamente la modificación del archivo hosts de Windows para introducir las 4 líneas que aparecen en la captura anterior.

Mediante esta técnica, el troyano realiza lo que se denomina como "pharming local". A partir de la modificación del archivo hosts, cuando el usuario intente visitar las páginas web del BBVA Banco Continental de Perú, en vez de ir al sitio web original su ordenador resolverá el dominio a un servidor web situado en la IP 201.166.121.113.

En ese servidor los atacantes alojan una página de phishing que simula la web original del banco, de esta forma consiguen capturar el usuario y claves de acceso a la cuenta bancaria del usuario, para una posterior suplantación de identidad y uso fraudulento.

INSTRUCCIONES PARA ELIMINARLO

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

4. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

5. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

6. Borre todas las líneas que comiencen con un número, salvo las siguientes:

127.0.0.1 localhost

7. Acepte guardar los cambios al salir del bloc de notas.

8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.

ALERTAS | NOTICIAS | ENCICLOPEDIA | PARA WEBMASTERS

términos y condiciones | ayuda | contacto | acerca de