Troj/Spy.Banker.PL. Roba información bancariaNombre: Troj/Spy.Banker.PL
Nombre NOD32: Win32/Spy.Banker.PL
Tipo: Caballo de Troya
Alias: Banker.PL, PWS-Banker.gen.c, Trojan.DownLoader.2703, Trojan.Spy.Banker.Pl, Trojan-Spy.Win32.Banker.pl, Win32/Bancos.Variant!PWS!Trojan, Win32/Spy.Banker.PL
Plataforma: Windows 32-bit
Tamaño: 304,128 bytes (UPX)
Este caballo de Troya, escrito en Borland Delphi, y comprimido con la utilidad UPX, está programado con la intención de robar información de los usuarios de bancos on-line.
Cuando se ejecuta, crea diferentes archivos en la carpeta de Windows. También agrega una entrada en el registro, con la intención de autoejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[valor] = [camino y nombre del troyano]
Luego queda residente en memoria, examinando las ventanas de Windows abiertas, en busca de coincidencias con cualquiera de los siguientes dominios:
http:/ /www .bancoreal .com .br
http:/ /www .baneb .com .br
http:/ /www .banerj .com .br
http:/ /www .banespa .com .br
http:/ /www .bb .com .br
http:/ /www .beg .com .br
http:/ /www .bemge .com .br
http:/ /www .bemnet .com .br
http:/ /www .bradesco .com .br
http:/ /www .caixa .com .br
http:/ /www .cef .com .br
http:/ /www .itau .com .br
http:/ /www .real .com .br
http:/ /www .serasa .com .br
https:/ /bankline .itau .com .br
https:/ /internetcaixa .caixa .gov .br
https:/ /netbanking2 .banespa .com .br
https:/ /office .bancobrasil .com .br
https:/ /sitenet11 .serasa .com .br
https:/ /www2 .bancobrasil .com .br
https:/ /www2 .realsecureweb .com .br
Cada vez que se produce una coincidencia, el troyano comienza a capturar todo lo tecleado por la víctima.
También es capaz de suplantar ciertas ventanas o formularios de dichas instituciones bancarias, por otras falsas creadas por él mismo, a los efectos de capturar la información ingresada.
Dicha información (que incluye todos los datos ingresados en una cuenta bancaria), es enviada luego a varias direcciones de correo electrónico:
cobranca @ ???imidia .com
cobranca2 @ ???imidia .com
valida @ ???imidia .com
Puede utilizar los siguientes servidores de correo:
http:/ /www .hotmail .com
http:/ /www .yahoo .com .br
Intenta descargar los siguientes archivos, los cuáles son identificados como troyanos:
http:/ /www.???imidia .com/imagens/amarelo.exe
http:/ /www.???imidia .com/imagens/azul.exe
http:/ /www.???imidia .com/imagens/branco.exe
http:/ /www.???imidia .com/imagens/laranja.exe
http:/ /www.???imidia .com/imagens/preto.exe
http:/ /www.???imidia .com/imagens/verde.exe
http:/ /www.???imidia .com/imagens/vermelho.exe
Reparación AntivirusPara borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Editar el registro1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/troj-spy-banker-pl.htm
