Troj/Spy.Banker.JV. Elimina al MS Windows AntiSpywareNombre: Troj/Spy.Banker.JV
Nombre NOD32: Win32/Spy.Banker.JV
Alias: Banker.JV, Spy.Banker.JV, Trojan-Spy.Win32.Banker.jv, Trojan.PWS.EBank, Troj/BankAsh-A, TrojanSpy:Win32/Banker.JV.dll, TROJ_SPYBANK.A, TR/Spy.Banker.AU, PSW.Banker.14.H, Trojan.PWS.Bancos.T, Trj/Banker.CB, Win32/Spy.Banker.JV
Relacionados: Troj/Down.Small.AIN
Plataforma: Windows 32-bit
Tamaño: 163,840 bytes
Caballo de Troya residente en memoria, que normalmente es liberado por otro troyano en el sistema. En este caso, el troyano "Small.AIN" lo libera en el directorio del sistema con el siguiente nombre:
c:\windows\system32\ASH.DLL
También puede ser descargado por el propio usuario desde Internet, generalmente pensando se trata de una utilidad legítima.
El troyano "Small.AIN" también registra al DLL de "Banker.JV" como un objeto BHO (Browser Helper Object). Un objeto BHO es un DLL que se adjunta a si mismo a cada nueva instancia del Internet Explorer, pudiendo ejecutar eventos predeterminados.
Para ello, crea las siguientes entradas en el registro:
HKCR\CLSID\{C6176B04-8896-4446-9939-E00EE94C420F}
HKCR\AntiSpy.AntiSpy
HKCR\AntiSpy.AntiSpy.1
El DLL se registra como una interfase llamada "IIEHlprObj" (Interface), y como un tipo de biblioteca llamada "AS 0.96 Type Library" (TypeLib):
HKCR\Interface\{17A45F93-AEC8-440B-AC33-1BA9CC3192AC}
HKCR\TypeLib\{D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F}
También modifica la página de inicio del Internet Explorer, creando las siguientes entradas:
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = about:blank
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
Start Page = about:blank
El troyano intenta desregistrar y borrar el DLL llamado IEHELPER.DLL, perteneciente a Windows.
Después de su ejecución, el troyano examina si el "Microsoft Windows AntiSpyware" está instalado en el sistema. Si lo encuentra, intenta finalizarlo y borrar todos los archivos relacionados con dicha aplicación.
Para ello, finaliza los siguientes procesos:
gcascleaner
gcasdtserv
gcasinstallhelper
gcasnotice
gcasserv
gcasservalert
gcasswupdater
gciptohostqueue
giantantispywaremain
giantantispywareupdater
"Microsoft Windows AntiSpyware" normalmente se instala en "C:\Archivos de programa\Microsoft Antispyware". Los archivos de dicha carpeta también son borrados por el troyano.
También remueve la clave "GcasServ" del registro que "Microsoft Windows AntiSpyware" utiliza para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
GcasServ= "c:\archivos de programa\Microsoft AnttiSpyware\gcasServ.exe"
El troyano intenta robar información relacionada con las transacciones comerciales y bancarias del usuario infectado. Para ello monitorea las transacciones cuando éste ingresa a cualquiera de estos sitios de banca on-line (esto incluye bancos como Barclays, Cahoot, Halifax, HSBC, Lloyds TSB, Nationwide, NatWest, Smile, etc.):
https:/ /ibank .barclays .co .uk
https:/ /ibank .cahoot .com
https:/ /olb2 .nationet .com
https:/ /online .lloydstsb .co .uk
https:/ /www .bankofscotlandhalifax-online .co .uk
https:/ /www .ebank .hsbc .co .uk
https:/ /www .ebank .hsbc .co .uk
https:/ /www .millenniumbcp .pt
https:/ /www .ukpersonal .hsbc .com
Cuando ello ocurre, el troyano despliega una página HTML falsa, para engañar al usuario, que creyendo estar en el sitio verdadero, ingresa la información relacionada con sus cuentas bancarias, etc. Luego genera los siguientes archivos en la carpeta de Windows, para almacenar la información robada:
c:\windows\Email.log
c:\windows\Pass.log
c:\windows\Req.log
La información capturada, es luego enviada periódicamente a un servidor FTP remoto.
Modifica el archivo HOSTS agregando las siguientes cadenas, algunas de ellas para que no se pueda acceder a determinados sitios desde una máquina infectada:
.ac.at
.ac.nz
.ac.uk
.at/
.de/
.edu
.o2.co.uk
.sok
.ust.hk
012.net
acadiau.ca
adaptec.com
adultfriendfinder.com
advisor.com
ains.com.au
aircanada.ca
a-net.com
apple.com
ariba.com
authorize.net
ba-ca.com
banking.bawag.com
bearshare.com
betbanking.com
bigpond.net.au
billerweb.com
bnpparibas.net
c1hrapps.com
cablebg.net
campoints.net
canon-europe.com
carleton.ca
cic.gc.ca
comcast.net
cometsystems.com
customersvc.com
datasvit.net
delawarenorth.com
delias.com
deluxepass.com
dell
directnic.com
directsex.com
douglas.bc.ca
earthport.com
ebankas.vb.lt
ebay
ecompanystore.com
elance.com
element5.com
elsevier
emetrix.com
e-registernow.com
esdlife.com
europeonline.com
eutelsat.net
ezpeer.com
farlep.net
flextronics.com
fredericks.com
freedom.net
game
gevalia.com
gigaisp.net
go-fia.com
guidehome.com
hilton.com
hku.hk
hkuspace.org
hostdozy.com
hotbar.com
hp.com
https
https://
ibm.com
icq.com
idx.com.au
ihost.com
iinet.net.au
imrworldwide.com
indigosp.com
infusion-studios.com
ingrammicro.com
inlandrevenue.gov.uk
intel.com
intuitcanada.com
iprimus.com.au
kent.net
konetic.org
kundenserver.de
lanck.net
liveperson.net
lkw-walter.com
look.ca
macau.ctm.net
maximonline.com
mcafee.com
mcgill.ca
mcmaster.ca
medibank.com.au
mgm-mirage.com
microsoft.com
monster.com
mouse2mobile.com
music
mysylvan.com
nacelink.com
netbilling.com
netfirms.com
netspeed.com.au
nike.com.hk
northeast.on.ca
novuslink.net
nwa.com
nzqa.govt.nz
o2online.de
oberon-media.com
onba.zkb.ch
onlineaccess.net
optusnet.com.au
opusit.com.sg
orcon.net
ordering.co.uk
oztralia.com
playstation.com
preschoicefinancial.com
prudential.com.hk
puma.com
queensu.ca
quickbooks.com
raiffeisendirect.
rba.hr
recruitsoft.com
register.com
reuters.com
rogers.com
safeform.com
safesite.com
salesforce.com
sammikk.com
samsunggsbn.com
sap-ag.de
sbc.com
s-central.com.au
sciamdigital.com
scicollege.org.sg
searchfit.org
seatbooker.net
sebra.com
securecart.net
secureordering.com
secureserver.net
securewebexchange.com
securitymetrics.com
selfmgmt.com
senecac.on.ca
sephora.com
serviticket.com
sfa.prudential.com.sg
sfgov.org
shaw.ca
sheridanc.on.ca
shkcorpws5.shkp.com
shopadmin.daum.net
shoppersoptimum.ca
shopundco.com
shutterfly.com
sierraclub.org
signup.sprint.ca
silicon-power.com
simplyhotels.com
sims.sfu.ca
singaporeair.com
singnet.com.sg
site-secure.com
sms.ac
snapfish.com
soccer.com
solo3.nordea.fi
sony
soundclick.com
sparkart.com
sparknotes.com
speedera.net
spiritair.com
sportingbet.com
sportodds.com
sqnet.com.sg
srp.org.sg
ssdcl.com.sg
stanfordalumni.org
starbiz.net.sg
starhubshop.com.sg
streamload.com
supergo.com
swamp.lan
sympatico.ca
tatrabanka.sk
tbihosting.com
tdcwww.net
techdata.com
telpacific.com.au
telstra.com
telusmobility.com
tepore.com
theaa.com
there.com
thewheelconnection.com
three.com.hk
ti.com
ticketmaster.com
tickle.com
tirerack.com
tm.net.my
tmi-wwa.com
t-mobile.co.uk
t-mobile.com
towerhobbies.com
travel.com.au
travel.priceline.com
travelclub.swiss.com
travelcommunications.co.uk
trekblue.com
trivita.com
trust1.com
trustinternational.com
tsn.cc
ubc.ca
ubi.com
ucas.co.uk
ultrastar.com
unb.ca
united.intranet.ual.com
unixcore.com
uoguelph.ca
uottawa.ca
upjs.sk
ups.com
usafis.org
uscden.net
uscitizenship.info
uwaterloo.ca
uwindsor.ca
va-bank.com
vandyke.com
vasa.slsp.sk
veloz.com
victoriassecret.com
videotron.com
virginblue.com.au
virginmobileusa.com
vodafone
vodafone.co.uk
vpost.com.sg
vutbr.cz
w2express.com
walgreens.com
watchguard.com
webassign.net
webeweb.net
webtrendslive.com
webzdarma.cz
western-inventory.com
willhill.com
wn.com.au
worldgaming.net
worldwinner.com
worth1000.com
wrem.sis.yorku.ca
xs4all.nl
xtra.co.nz
yagma.com
ych.com
yes.com.hk
yesasia.com
yimg.com
yorku.ca
yourastrologysite.com
ytv.com
zoovy.com
zwallet.com
Además de la información bancaria del usuario y sus contraseñas, el troyano reune todas las direcciones de correo electrónico que se pueden encontrar en el sistema. La lista de las direcciones obtenidas es guardada en un archivo llamado EMAIL.LOG. Dichas direcciones son buscadas en documentos con las siguientes extensiones:
.htm
.txt
Relacionados:
Troj/Down.Small.AIN. Descarga y ejecuta Spy.Banker
http://www.vsantivirus.com/down-small-ain.htmLimpieza manualIMPORTANTE: Mientras se realiza la limpieza manual de este troyano, es importante desconectar físicamente el cable telefónico o la conexión ADSL, etc. Antes, asegúrese de tener actualizado su antivirus.
Desregistrar el componente BHO (browser helper object)1. Cierre el Internet Explorer y cualquier otra ventanas abierta
2. Desde Inicio, Ejecutar, escriba lo siguiente (más Enter):
regsvr32 /u ASH.DLL
3. Se puede abrir una ventana del Internet Explorer. Si es así ciérrela.
4. Apague su computadora y aguarde cinco segundos por lo menos, antes de reiniciarla en modo a prueba de errores
6. Desde modo a prueba de fallos, ejecute un antivirus actualizado para borrar todas las apariciones de este troyano.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\Email.log
c:\windows\Pass.log
c:\windows\Req.log
c:\windows\system32\ASH.DLL
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
3. Haga clic en la carpeta "HKEY_CLASSES_ROOT" y borre las siguientes subcarpetas:
AntiSpy.AntiSpy
AntiSpy.AntiSpy.1
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
\{C6176B04-8896-4446-9939-E00EE94C420F}
5. Borre la carpeta {C6176B04-8896-4446-9939-E00EE94C420F}
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\Interface
\{17A45F93-AEC8-440B-AC33-1BA9CC3192AC}
7. Borre la carpeta {17A45F93-AEC8-440B-AC33-1BA9CC3192AC}
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\TypeLib
\{D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F}
9. Borre la carpeta {D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F}
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Procedimiento para restaurar página de inicio en Internet Explorer1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Haga clic en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Haga clic en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.
7. Haga clic en "Aceptar".
Seleccionar la página de inicio del Internet ExplorerCambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual".
Restaurar archivo HOSTS1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información.
Restaurar Microsoft Windows AntiSpywareCómo el troyano elimina dicho programa, si usted lo utiliza debe volver a reinstalarlo desde el siguiente enlace:
Microsoft Windows AntiSpyware
http://www.microsoft.com/athome/security/spyware/software/default.mspxCambio de contraseñasEn el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/troj-spy-banker-jv.htm
