ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Trojan.Win32.Angriff

Clase Trojan
Plataforma Win32
Descripción

Detalles técnicos

Este es el programa troyano Win95 / 98 / ME que ataca el escritorio de información financiera de Xpresso (ver http://www.spxpresso.com). El troyano tiene la intención de modificar las transacciones financieras, probablemente para reenviar estas transacciones a la cuenta bancaria del hacker. El troyano lo hace al afectar la biblioteca de tiempo de ejecución de Java que utiliza el cliente Xpresso que está escrito en Java.

El troyano no se probó en el laboratorio de virus, por lo que no podemos garantizar el envío de transferencias de dinero a hackers o cualquier otra cuenta. El hecho es que troyano intercepta transacciones y modifica datos en bloques de control de transacciones.

El troyano se distribuye y se adjunta a los archivos Win32 PE EXE. El código troyano se coloca al final de los archivos PE EXE de forma similar a virus. Cuando se ejecuta el archivo afectado, el código del troyano obtiene el control e instala el componente principal del troyano en el sistema. El control se devuelve al archivo de host.

El troyano no puede afectar a otros archivos PE EXE por sí mismo. Hubo un componente troyano "cayendo" especial (aplicación Win32 de línea de comandos) que encontró el código de troyano adjunto a los archivos EXE de la víctima a petición del usuario.

Al instalar en el sistema, el troyano extrae de su código el componente VxD (componente troyano principal) y lo escribe en el archivo MSREBOOT.VXD recién creado en el directorio del sistema de Windows. Este VxD luego se registra en la clave de registro "Servicios VxD".

También hay más claves creadas allí:

HKLMSystemCurrentControlSetServicesVxDREBOOT
RebootData = [datos de longitud cero]
Start = 00
StaticVxD = "* REBOOT, MSREBOOT.VXD"

La primera clave indica la fecha en que Trojan se desinstalará del sistema. El troyano borra su archivo VXD con ceros y luego elimina ese archivo.

La segunda clave es desconocida.

La tercera clave es la clave de registro de carga automática que obliga a Windows a cargar y activar el archivo VXD cuando se inicia Windows.

Cuando se activa el archivo Trojan VXD, el procedimiento troyano principal supervisa el proceso de apertura de archivos y busca la biblioteca de ejecución de Java, JRT3230.DLL. El troyano omite la carga de la biblioteca, espera cuando se completa la carga y engancha la función Java "do_execute_java_method_vararg".

El hooker luego engancha todos los datos procesados ​​por esa función, incluidas las transferencias bancarias que se realizan con el cliente Xpresso. El troyano analiza la estructura de solicitud de transferencia y reemplaza algunos campos en esa solicitud con otros valores. Parece que el troyano reemplaza el número de cuenta bancaria de destino original con el de hacker.


Enlace al original