Troj/Spy.Goldun.A. Roba cuentas de usuarios de E-goldNombre: Troj/Spy.Goldun.A
Nombre NOD32: Win32/Spy.Goldun.A
Tipo: Caballo de Troya
Alias: Goldun, Getegold.B, PSW.Goldun.A, PWS-Banker.d, TR/Spy.Goldun.A, Troj/Goldun-A, TROJ_GETEGOLD.B, Trojan Horse, Trojan.GoldSpy, Trojan.Spy.E-Gold.A, Trojan.Spy.Goldun.Gen, Trojan-Spy.Win32.Goldun.a, Win32/Spy.Goldun.A
Fecha: 5/ene/05
Plataforma: Windows 32-bit
Tamaño: 13,824 bytes
Este troyano intenta acceder a las cuentas de los usuarios de E-gold.com, un sitio dedicado al manejo de transacciones comerciales en lingotes de oro.
En un sistema infectado, cuando el usuario intenta acceder a la página de ingreso (http:/ /e-gold .com/acct/login.html), el troyano accede a la misma página sin conocimiento del usuario, e ingresa los mismos datos que el usuario cree estar ingresando. Luego, el troyano puede transferir dinero desde la cuenta accedida a otra diferente.
Cuando se ejecuta, el troyano crea la siguiente copia de si mismo en la carpeta de Windows:
c:\windows\WMEDIA16.EXE
NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
También crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Shell = "c:\windows\wmedia16.exe"
El troyano también puede almacenar los datos ingresados (contraseñas, etc.).
El troyano parece haber sido distribuido por medio de spam, en mensajes como el siguiente:
Asunto: photo from you sweet Jessy )
Datos adjuntos: foto.rar
Texto del mensaje:
Please don't you show them pictures to anyone!
Especially your parents! Otherwise they kill you - they
are damn horny!!
Your Jess, kissing you! When you come home, phone me
asap! p.s. photos attached, password on archive - foto.
El troyano también puede arribar como adjunto en un mensaje con el siguiente texto:
Dear user of E-gold.
By the reason that the last time the number of
complaints of unapproved removal of money resources
became more often, we ask you to install the following
service pack on your computer. This renovation blocks
all known Trojan modules which allow removal of your
money without your permission.
- In case of losing money from your account, E-gold
*DOES NOT* take any responsibility if this service pack
wasn't installed on your computer.
- The installation file is on the archive attached to
this letter.
--------------------------------------------------
* * * Read/Save/Print this email message * * *
--------------------------------------------------
Important information about your e-gold account:
- It's OK to tell others your e-gold account number!
Other e-gold Users need your e-gold account number in
order to Spend e-gold to you. So don't hesitate to
display it on your web page, your business cards, or
your e-mail signature file.
- However, *DO NOT* reveal your passphrase to others!!!
Anybody with knowledge of both your e-gold account
number and your e-gold passphrase has complete access to
your e-gold account; therefore, do not reveal your e-
gold account passphrase to others. *NEVER* enter your
passphrase on any website other than the
www.e-gold.com web site.
e-gold Resource Links:
- e-gold Account User Agreement:
Ever used a currency with a contract at all, let alone
one that clearly outlined the Issuer's obligations to
you? Well, you are now! Truly a "must read" for any e-
gold User:
http:/ /www .e-gold .com/unsecure/[?????]
- e-gold Incentive Program Information:
Spread the word that better money has arrived and get
paid some of it for doing so (please don't spam):
http:/ /www .e-gold .com/unsecure/[?????]
- e-gold brochure:
Having trouble coming up with the words? Use these (we
do!):
http:/ /www .e-gold .com/unsecure/[?????]
- e-gold Directory:
Whether you want to obtain some e-gold or part with
some, we have some links to get you started:
http:/ /www .e-gold .com/unsecure/[?????]
---------------------------------------------
Thank you for using e-gold!
---------------------------------------------
En este último caso, el ejecutable será un dropper (programa que libera o "gotea" al troyano propiamente dicho cuando se ejecuta).
El dropper liberará los siguientes archivos en la carpeta de Windows y luego los ejecutará:
c:\windows\SERVICEPACK.EXE
c:\windows\SETUP.EXE
Cuando se ejecuta SERVICEPACK.EXE, éste libera a su vez el siguiente DLL en el directorio del sistema de Windows:
c:\windows\system32\LOGSYS.DLL
El troyano creará las siguientes entradas en el registro para ejecutar LOGSYS.DLL en cada reinicio de Windows:
HKCR\CLSID
\{????????-????-????-????-????????????}\InProcServer32
(Predeterminado) = "logsys.dll"
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\ShellServiceObjectDelayLoad
MSTask = {????????-????-????-????-????????????}
Donde {????????-????-????-????-????????????} son caracteres hexadecimales que representan un identificador de clase único (CLSID), un valor de 128 bits generado al azar por el troyano.
Cuando LOGSYS.DLL se ejecuta, libera y ejecuta otro archivo en la carpeta de Windows:
c:\windows\CSRSS.EXE
CSRSS.EXE es el troyano robador de contraseñas que luego se copiará a si mismo como WMEDIA16.EXE en la carpeta de Windows, como se describió antes.
Más información
http://www.vsantivirus.com/troj-spy-goldun-a.htm
