Clase de padre: TrojWare
Los troyanos son programas maliciosos que realizan acciones que no están autorizadas por el usuario: borran, bloquean, modifican o copian datos e interrumpen el rendimiento de las computadoras o las redes de computadoras. A diferencia de los virus y las lombrices, las amenazas que entran en esta categoría no pueden hacer copias de sí mismas ni autorreplicarse. Los troyanos se clasifican de acuerdo con el tipo de acción que realizan en una computadora infectada.Clase: Trojan
Un programa malicioso diseñado para espiar electrónicamente las actividades del usuario (interceptar la entrada del teclado, tomar capturas de pantalla, capturar una lista de aplicaciones activas, etc.). La información recopilada se envía al cibercriminal por diversos medios, incluidos el correo electrónico, FTP y HTTP (mediante el envío de datos en una solicitud).Más información
Plataforma: Win32
Win32 es una API en sistemas operativos basados en Windows NT (Windows XP, Windows 7, etc.) que admite la ejecución de aplicaciones de 32 bits. Una de las plataformas de programación más extendidas en el mundo.Descripción
Detalles técnicos
Este es el programa troyano Win95 / 98 / ME que ataca el escritorio de información financiera de Xpresso (ver http://www.spxpresso.com). El troyano tiene la intención de modificar las transacciones financieras, probablemente para reenviar estas transacciones a la cuenta bancaria del hacker. El troyano lo hace al afectar la biblioteca de tiempo de ejecución de Java que utiliza el cliente Xpresso que está escrito en Java.
El troyano no se probó en el laboratorio de virus, por lo que no podemos garantizar el envío de transferencias de dinero a hackers o cualquier otra cuenta. El hecho es que troyano intercepta transacciones y modifica datos en bloques de control de transacciones.
El troyano se distribuye y se adjunta a los archivos Win32 PE EXE. El código troyano se coloca al final de los archivos PE EXE de forma similar a virus. Cuando se ejecuta el archivo afectado, el código del troyano obtiene el control e instala el componente principal del troyano en el sistema. El control se devuelve al archivo de host.
El troyano no puede afectar a otros archivos PE EXE por sí mismo. Hubo un componente troyano "cayendo" especial (aplicación Win32 de línea de comandos) que encontró el código de troyano adjunto a los archivos EXE de la víctima a petición del usuario.
Al instalar en el sistema, el troyano extrae de su código el componente VxD (componente troyano principal) y lo escribe en el archivo MSREBOOT.VXD recién creado en el directorio del sistema de Windows. Este VxD luego se registra en la clave de registro "Servicios VxD".
También hay más claves creadas allí:
HKLMSystemCurrentControlSetServicesVxDREBOOT
RebootData = [datos de longitud cero]
Start = 00
StaticVxD = "* REBOOT, MSREBOOT.VXD"
La primera clave indica la fecha en que Trojan se desinstalará del sistema. El troyano borra su archivo VXD con ceros y luego elimina ese archivo.
La segunda clave es desconocida.
La tercera clave es la clave de registro de carga automática que obliga a Windows a cargar y activar el archivo VXD cuando se inicia Windows.
Cuando se activa el archivo Trojan VXD, el procedimiento troyano principal supervisa el proceso de apertura de archivos y busca la biblioteca de ejecución de Java, JRT3230.DLL. El troyano omite la carga de la biblioteca, espera cuando se completa la carga y engancha la función Java "do_execute_java_method_vararg".
El hooker luego engancha todos los datos procesados por esa función, incluidas las transferencias bancarias que se realizan con el cliente Xpresso. El troyano analiza la estructura de solicitud de transferencia y reemplaza algunos campos en esa solicitud con otros valores. Parece que el troyano reemplaza el número de cuenta bancaria de destino original con el de hacker.
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com