Gusanito.exe descarga troyano bancario y conecta a iRC

Subo este artículo porque me van llegando “llamadas” de varia gente que no sabe cómo quitar este virus, o que “recae”  en él constamente, aunque ya hace unas semanas atrás de esto..

###########################################
Gusanito.exe descarga troyano bancario y conecta a irc
Articulo original:http://lostmon.blogspot.com/2008/03/
gusanitoexe-descarga-troyano-bancario-y.html
###########################################

Hoy me llego un nuevo intento de pishing disfrazado
con una targeta de gusanito.com.

Despues de un leve estudio sobre el mismo descubro que
el link de la targeta lleva a la descarga directa de
un archivo llamado “gusanito.exe”.

##########################
imagen del mail
##########################

vista_mail.gif

Me descargo el ejecutable y despues de analizar el
archivo , me sorprendo por lo poco escondido que
esta en si el intento de fraude.

###########################
Imagen cabeceras mail
###########################

vista_mail_cabeceras.gif

Si el usuario incauto descargo y ejecuto, ya que
se esconde bajo el incono de un dibujo, el archivo
esconde un troyano bancario llamado winmedia.exe
el troyano es Trojan-Spy.Win32.Banker.anv o alguna
de sus variantes su informacion puede consultarse aqui:

http://www.viruslist.com/en/viruses/encyclopedia?virusid=105552

Si observamos el codigo en hexa del ejecutable “gusanito.exe”
encontramos varias cosas curiosas:

La ruta donde el el atacante a compilado su proyecto asi
como el nombre de usuario con el que se haya logeado en su
maquina.

C : \ D o c u m e n t s a n d S e t t i n g s \ h u g o \
E s c r i t o r i o \ H u g o T o o l s F I N A L I S I M O
3 . 0 \ H u g o T o o l s \ D R O N E S \ P r o y e c t o 1 . v b p

Entre el codigo tambien se ve que interactua con MSN ,obteniendo
la lista de contactos y mandando in mensage a los contactos con varios
mensages distintos, imitando alguna de los tipicos virus de msn
con los mensages , mira estas fotos o mira este video hermoso hermoso
hermoso entre otras (en el archivo hexa pueden verse claramente)

lanzando asi la url para el usuario victima junto con la frase.

#########################################
imagen clave msn y imagen frases msn
#########################################

#############################################
Imagen link descarga y clave registro windows
###############################################

Ademas , se establece una conexion al servidor ccpower.com.mx
por irc con un nick Drone??? donde ??? son numeros aleatorios
y entrando al canal #banamex donde de los casi 400 usuarios
del canal ,el 90% son victimas infectadas.

#############################
conexion irc
#############################

Es desde este canal desde donde se manejan a los usuarios
victima ,pasando por el canal las direcciones de email
de los contanctos de las victimas y obteniendo los datos
que hayan podido ser capturados por el atacante , bien sea
por el troyano o bien sea por las funciones de keyloger
que posee el ejecutable.

############################################
Imagen vista irc
############################################

vista_irc.gif

ni que decir tiene que fuy baneado de su irc …
creo que no tienen sentido del humor XDDDD

La proteccion es la misma de siempre, no descargar
archivos desde fuentes no fidelignas,

Tener el antivirus actualizado

Y NO EJECUTAR NADA SIN SABER QUE ES Y SIN HABERLE
PASADO ANTES UN ANTIVIRUS !!!!!!!

################################
Analisis automatico del archivo
(gracias a Jose luis)
################################

Un examen automático da esto:

Intenta replicarse a través de una red.

Se copia en la carpeta de Windows:

C:\Windows\WinMedia.exe

Crea o modifica las siguientes entradas del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IpInIp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\IASSDO
EnableFileTracing = 0x00000000
EnableConsoleTracing = 0x00000000
FileTracingMask = 0xFFFF0000
ConsoleTracingMask = 0xFFFF0000
MaxFileSize = 0x00100000
FileDirectory = “%windir%\tracing”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SystemMigration = “%Windir%\WinMedia.exe”

Se intenta conectar a la siguiente dirección:

irc.ccpower.com.mx

Se conecta y envía los siguientes datos:

USER nomail@nomail.com localhost9195 irc.ccpower.com.mx :botitooo
NICK Drone-919-5
JOIN :#banamex
PONG :response
PONG ::+i
PONG :list.
PONG ::.VERSION.
PONG ::.status
PONG ::.id
PONG ::.stats
PONG ::.uptime
PONG :PROCESS_NAME_TO_TERMINATE
PONG ::.ident
PONG ::.keylog
PONG ::.httpserver
PONG :50
PONG :-r
PONG :60
USER nomail@nomail.com localhost11606 irc.ccpower.com.mx :botitooo
NICK Drone-1160-6

#################€nd#####################

Thnx to Jose Luis from http://www.vsantivirus.com
por el analisis automatico, su paciencia y ayuda 🙂

Thnx to estrella to be my ligth
Thnx To FalconDeOro for his support
Thnx To Imydes From http://www.imydes.com

atentamente:
Lostmon (lostmon@gmail.com)

Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)

La curiosidad es lo que hace mover la mente….

Anuncios

3 Responses to “Gusanito.exe descarga troyano bancario y conecta a iRC”


  1. 1 Diabliyo abril 11, 2008 en 3:08 pm

    Hola:

    Descubri una variante muy interesante del Troyano, al parecer NO solo utiliza el canal IRC, sino tambien un WEB donde tiene la informacion de lso infectados listado por IPs y por PAISES !!…

    Contactame conmigo, debido a que el sitio donde tiene dicha informacion es un sitio de una empresa fuerte en Mexico !!

    bye bye

  2. 2 yago enero 4, 2009 en 6:23 pm

    ola buenas,tengo un virus es el irc y no puedo kitarlo.me gustaria tener un poco de ayuda,dejo mi mesenger para ayuda garcias.. txoriman@hotmail.com

  3. 3 diabolik noviembre 20, 2010 en 3:47 pm

    O_O OMG


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




Blog Stats

  • 612,248 visitas

RSS

Feed
marzo 2008
L M X J V S D
« Feb   Abr »
 12
3456789
10111213141516
17181920212223
24252627282930
31  

Usuarios online:

counter

Otras URL’s

TiraEcol

Tira Ecol
BlogESfera Directorio de Blogs Hispanos - Agrega tu Blog
Google PageRank 
		Checker

A %d blogueros les gusta esto: