SevalcaborNombre completo: PWSteal.W32/Sevalcabor
Tipo: [PWSteal] - Troyano que roba contraseñas u otros datos confidenciales del sistema infectado
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Alias:PWSteal.Bankash.E (Symantec)
El agente se presenta como un juego de fotos comprimidas, con el que el usuario puede caer en la trampa e instalarlo en su ordenador
Se trata de un troyano especialmente diseñado para capturar las credenciales de acceso de los usuarios cuando conectan vía web a sus entidades financieras.
El troyano también es capaz de detener los procesos de protección activos en la máquina infectada, como Antivirus y firewall.
Las entidades afectadas son principalmente Británicas, aunque también se encuentra alguna española.
Cuando se ejecuta, descarga los siguientes ficheros:
• %System%\ash.dll
• %System%\iehelper.dll
Nota: %System% es una variable que representa la carpeta del sistema de Windows. Por defecto será C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Crea las siguientes subclaves de registro para los ficheros .dll descargados:
HKEY_CLASS_ROOT\CLSID\{F74B358E-6979-40a9-96CD-636C80B87AFF}
HKEY_CLASS_ROOT\TypeLib\{DF7B63CA-0287-4FEC-AD99-598519A78E57}
HKEY_CLASS_ROOT\Interface\{35A22488-DCFE-459C-A811-CFC81687B404}F60}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Explorer\Browser Helper
Object\{F74B358E-6979-40a9-96CD-636C80B87AFF}
También crea las siguientes claves:
HKEY_CLASSES_ROOT\AntiSpy.AntiSpy
HKEY_CLASSES_ROOT\AntiSpy.AntiSpy.1
Y añade el valor el siguiente valor a las claves indicadas, para redireccionar la página de inicio del explorador:
"Start Page" = "about:blank"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
También añade los siguientes valores a la subclave indicada:
"install_em" = "ok"
"install_pw" = "ok"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
Busca direcciones de correo en los ficheros con las siguientes extensiones:
• .xml
• .xls
• .eml
• .vbs
• .rtf
• .uin
• .doc
• .oft
• .msg
• .dbx
• .adb
• .wab
• .tbb
• .asp
• .ph*
• .pl*
• .tx*
• .*ht*
Para almacenarlas en un fichero con la siguiente ruta y nombre: %Windir%\email.log.
Nota: %Windir% representa la carpeta de instalación de Windows que por defecto será: C:\Windows o C:\Winnt.
También captura todas las claves amacenadas en la memoria caché para almacenarlas en %Windir%\pass.log.
Activiades de Monitorización
Es capaz de intervenir y ocultar ciertos mensajes presentados por las aplicaciones Firewall cuando detectan actividades sospechosas:
• Microsoft Internet Explorer
• Are you sure you want to navigate away from this page?
• Warning: Components Have Changed
• Warning: some components changed
• Hidden Process Requests Network Access
• Windows Security Alert
También podrá crear automáticamente, nuevas reglas y permisos de acceso para tales actividades:
Monitoriza y supervisa la actividad del Navegador Internet Explorer cuando el usuario navega por determinados sitios web relacionados con entidades financieras. Sobre todo Británicas:
•
www.bankofscotlandhalifax-online.co.uk/_mem_bin/UMLogonVerify.asp •
www.halifax-online.co.uk/demos/public/umdemoengine.asp •
www.ebank.hsbc.com.hk/servlet/onlinehsbc •
www.iblogin.com/servlet/XCServlet;jsessionid •
www.ebank.hsbc.com.hk/servlet/Logon •
www.national.com.au/cgi-bin/7614_1.pl •
www.bpinet.pt/verificaMCF.asp • web.da-us.citibank.com/cgi-bin/citifi/scripts/login2/login.jsp
• sec.westpactrust.co.nz/IOLB/csReq
• olb.westpac.com.au/ib/asp/login/bsd_lgvalidate.asp
•
www.halifax-online.co.uk/_mem_bin/UMLogonVerify.asp •
www.rbsdigital.com/secure/default.asp •
www.nwolb.com/secure/default.asp • olb2.nationet.com/default2.asp
• olb2.nationet.com/MyAccounts/frame_MyAccounts_WP2.asp
• online.lloydstsb.co.uk/logon.ibc
• ibank.cahoot.com/Aquarius/web/en/core_banking/log_in/frameset_top_log_in.html
• ibank.cahoot.com/servlet/com.aquarius.security.authentication.servlet.LogonServlet
• ibank.barclays.co.uk/fp/1_2h/online/1,31705,,00.html
• ibank.barclays.co.uk/fp/1_2h/online/1,,logon,00.html
• myonlineaccounts2.abbeynational.co.uk/CentralLogonWeb/Logon?action=logon
• myonlineaccounts2.abbeynational.co.uk/CentralLogonWeb/MyPersonalHomepage
•
www.ebank.hsbc.co.uk/logonindex.jsp •
www.ebank.hsbc.co.uk/servlet/com.hsbc.ib.app.pib.logon.servlet.OnLogonVerificationServlet También será capaz de hacerlo con las entidades que contengan las siguientes cadenas de texto en el título de la página presentada, entre las que se encuentran entidades españolas:
• SORRY_SPARK
• display_spark
• SORRY_DEUTCH2
• display_deutsche-bank
• SORRY_COMMERZ
• display_commerz
• BOS_Halifax
• VR_DEU
• display_vr
• HOME_DEU
• display_home
• SORRY_CITY
• display_citi
• HELPER_PAGE
• IBLogin_COM
• BankWest_COM_AU
• javascript: SubmitEBS('Submit')
• National_COM_AU
• PT_ActivoBank7
• priv.activobank7.pt/v10/PT/jsp/privado/autenticacao.jsp
• PT_Caixadirecta_CGD
• javascript: getTicket(true)
• PT_BPInet
• PT_FiniBanco
• javascript: submeteLogin()
• PT_BBVA_COM
• javascript: Validar(document.entrada);
• Web_Da_Us_Citibank_Com
• Anz_COM_AU_NZ
• javascript: SubmitEBS('Modify')
• Westpac_NZ
• Westpac_AU
• BankCardServices_CO_UK
• javascript: document.loginForm.submit();
• Halifax
• RBSDigital
• NatWest
• Logon-PinPass.asp
• Natwide
• Lloyds
• Cahoot
• Barclays
• Abbey
• HSBC_CO_UK
Muestra páginas falsas, SUPLANTADAS, cuando alguno de los mencionados sitios web es accedido, y procede a capturar todas las pulsaciones realizadas en ellas.
También supervisará la actividad del navegador cuando el usuario acceda a páginas web seguras (HTTPS) que contengan en su título algunas de las siguientes cadenas de texto, donde capturará todas las pulsaciones realizadas por el usuario:
• .de
• .at
• ba-ca.com
• onba.zkb.ch
• banking.bawag.com
• raiffeisendirect.
• ebankas.vb.it
• tatrabanka.sk
• rba.hr
Si en las páginas supervisadas detecta la presencia de alguna de las siguientes cadenas de texto, detendrá inmediatamente la captura de las pulsaciones del teclado:
• safeform.com
• northeast.on.ca
• salesforce.com
• prudential.com.hk
• sammikk.com
• samsunggsbn.com
• sbc.com
• s-central.com.au
• ebay
• sciamdigital.com
• scicollege.org.sg
• upjs.sk
• eutelsat.net
• searchfit.org
• seatbooker.net
• sebra.com
• yimg.com
• acadiau.ca
• adultfriendfinder.com
• advisor.com
• authorize.net
• bearshare.com
• betbanking.com
• bnpparibas.net
• c1hrapps.com
• customersvc.com
• konetic.org
• delias.com
• deluxepass.com
• directnic.com
• directsex.com
• earthport.com
• elance.com
• element5.com
• elsevier
• emetrix.com
• e-registernow.com
• europeonline.com
• ezpeer.com
• fredericks.com
• gevalia.com
• hilton.com
• hostdozy.com
• hotbar.com
• idx.com.au
• indigosp.com
• infusion-studios.com
• intuitcanada.com
• reuters.com
• kent.net
• lkw-walter.com
• medibank.com.au
• mouse2mobile.com
• mysylvan.com
• nacelink.com
• netbilling.com
• netfirms.com
• netspeed.com.au
• nike.com.hk
• novuslink.net
• nzqa.govt.nz
• oberon-media.com
• onlineaccess.net
• optusnet.com.au
• orcon.net
• ordering.co.uk
• oztralia.com
• register.com
• safesite.com
• shaw.ca
• billerweb.com
• sms.ac
• sparkart.com
• sparknotes.com
• starbiz.net.sg
• telusmobility.com
• thewheelconnection.com
• tickle.com
• trekblue.com
• tsn.cc
• ubi.com
• vandyke.com
• w2express.com
• mgm-mirage.com
• webeweb.net
• wn.com.au
• securecart.net
• secureordering.com
• secureserver.net
• imrworldwide.com
• playstation.com
• western-inventory.com
• securewebexchange.com
• securitymetrics.com
• selfmgmt.com
• t-mobile.co.uk
• xtra.co.nz
• canon-europe.com
• senecac.on.ca
• sephora.com
• liveperson.net
• ariba.com
• sympatico.ca
• xs4all.nl
• macau.ctm.net
• rogers.com
• sfgov.org
• cic.gc.ca
• vodafone.co.uk
• hku.hk
• sfa.prudential.com.sg
• shkcorpws5.shkp.com
• ecompanystore.com
• o2online.de
• shopadmin.daum.net
• shoppersoptimum.ca
• go-fia.com
• zoovy.com
• shopundco.com
• shutterfly.com
• signup.sprint.ca
• silicon-power.com
• singnet.com.sg
• simplyhotels.com
• sims.sfu.ca
• singaporeair.com
• site-secure.com
• esdlife.com
• flextronics.com
• cometsystems.com
• snapfish.com
• solo3.nordea.fi
• soccer.com
• hkuspace.org
• soundclick.com
• swamp.lan
• spiritair.com
• sportingbet.com
• sportodds.com
• worldgaming.net
• adaptec.com
• sqnet.com.sg
• srp.org.sg
• ains.com.au
• campoints.net
• ingrammicro.com
• kundenserver.de
• speedera.net
• farlep.net
• lanck.net
• .sok
• monster.com
• ihost.com
• gigaisp.net
• webtrendslive.com
• a-net.com
• puma.com
• apple.com
• streamload.com
• maximonline.com
• look.ca
• supergo.com
• cablebg.net
• dell
• sony
• inlandrevenue.gov.uk
• tbihosting.com
• quickbooks.com
• techdata.com
• telpacific.com.au
• telstra.com
• freedom.net
• recruitsoft.com
• tepore.com
• theaa.com
• three.com.hk
• ticketmaster.com
• ultrastar.com
• ti.com
• tirerack.com
• tm.net.my
• tmi-wwa.com
• tdcwww.net
• stanfordalumni.org
• 012.net
• starhubshop.com.sg
• datasvit.net
• ssdcl.com.sg
• music
• iinet.net.au
• iprimus.com.au
• hp.com
• game
• towerhobbies.com
• travel.com.au
• travel.priceline.com
• travelclub.swiss.com
• travelcommunications.co.uk
• trivita.com
• trust1.com
• trustinternational.com
• yorku.ca
• preschoicefinancial.com
• united.intranet.ual.com
• unixcore.com
• uwindsor.ca
• ucas.co.uk
• ups.com
• yesasia.com
• usafis.org
• uscden.net
• uscitizenship.info
• va-bank.com
• vasa.slsp.sk
• veloz.com
• victoriassecret.com
• videotron.com
• mcafee.com
• virginblue.com.au
• virginmobileusa.com
• vodafone
• vpost.com.sg
• vutbr.cz
• opusit.com.sg
• ibm.com
• aircanada.ca
• walgreens.com
• watchguard.com
• icq.com
• ych.com
• uottawa.ca
• uoguelph.ca
• there.com
• webassign.net
• comcast.net
• douglas.bc.ca
• carleton.ca
• mcgill.ca
• mcmaster.ca
• queensu.ca
• sheridanc.on.ca
• ubc.ca
• unb.ca
• .ac.at
• .ac.nz
• .ust.hk
• microsoft.com
• guidehome.com
• sap-ag.de
• nwa.com
• webzdarma.cz
• intel.com
• bigpond.net.au
• willhill.com
• .ac.uk
• t-mobile.com
• uwaterloo.ca
• delawarenorth.com
• worldwinner.com
• worth1000.com
• wrem.sis.yorku.ca
• sierraclub.org
• serviticket.com
• yagma.com
• yes.com.hk
• .edu
• yourastrologysite.com
• ytv.com
• .o2.co.uk
• zwallet.com
• ba-ca.com
• onba.zkb.ch
• banking.bawag.com
• raiffeisendirect.
• ebankas.vb.lt
• tatrabanka.sk
• rba.hr
Almacena todas las pulsaciones capturadas en el fichero %Windir %\form.log, y realiza peticiones HTTP GET, que tamnién pueden ser guardadas en %Windir %\req.log.
Otros detalles:
Intenta detener la actividad de las funciones AntiSpyware de Microsoft, borrando la siguiente clave de registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\gcasServ
Y también deteniendo los siguientes procesos:
• GCASCLEANER
• GCASDTSERV
• GCASINSTALLHELPER
• GCASNOTICE
• GCASSERV
• GCASSERVALERT
• GCASSWUPDATER
• GCIPTOHOSTQUEUE
• GIANTANTISPYWAREMAIN
• GIANTANTISPYWAREUPDATER
Además intentará borrar los ficheros existentes en las carpetas:
• %ProgramFiles%\Microsoft AntiSpyware\*
• %ProgramFiles%\Common Files\Symantec Shared\*.exe
• %ProgramFiles%\Kaspersky Lab\*.exe
• %ProgramFiles%\McAfee\*.exe
• %ProgramFiles%\Common Files\Network Associates\*.exe
• %ProgramFiles%\Norton Antivirus\*.exe
Nota: %ProgramFiles% representa la carpeta de C:\Archivos de Programa
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC.
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
%System%\ash.dll
%System%\iehelper.dll
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus.
Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine las siguientes subclaves:
HKEY_CLASS_ROOT\CLSID\{F74B358E-6979-40a9-96CD-636C80B87AFF}
HKEY_CLASS_ROOT\TypeLib\{DF7B63CA-0287-4FEC-AD99-598519A78E57}
HKEY_CLASS_ROOT\Interface\{35A22488-DCFE-459C-A811-CFC81687B404}F60}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Explorer\Browser Helper
Object\{F74B358E-6979-40a9-96CD-636C80B87AFF}
HKEY_CLASSES_ROOT\AntiSpy.AntiSpy
HKEY_CLASSES_ROOT\AntiSpy.AntiSpy.1
Elimine los valores indicados de las siguientes claves:
"Start Page" = "about:blank"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
"install_em" = "ok"
"install_pw" = "ok"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
Restaure las siguientes entradas del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\gcasServ
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4863
