ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN. Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Clase
Trojan
Plataforma
Win32

Clase de padre: TrojWare

Los troyanos son programas maliciosos que realizan acciones que no están autorizadas por el usuario: borran, bloquean, modifican o copian datos e interrumpen el rendimiento de las computadoras o las redes de computadoras. A diferencia de los virus y las lombrices, las amenazas que entran en esta categoría no pueden hacer copias de sí mismas ni autorreplicarse. Los troyanos se clasifican de acuerdo con el tipo de acción que realizan en una computadora infectada.

Clase: Trojan

Un programa malicioso diseñado para espiar electrónicamente las actividades del usuario (interceptar la entrada del teclado, tomar capturas de pantalla, capturar una lista de aplicaciones activas, etc.). La información recopilada se envía al cibercriminal por diversos medios, incluidos el correo electrónico, FTP y HTTP (mediante el envío de datos en una solicitud).

Más información

Plataforma: Win32

Win32 es una API en sistemas operativos basados ​​en Windows NT (Windows XP, Windows 7, etc.) que admite la ejecución de aplicaciones de 32 bits. Una de las plataformas de programación más extendidas en el mundo.

Descripción

Detalles técnicos

Este es el programa troyano Win95 / 98 / ME que ataca el escritorio de información financiera de Xpresso (ver http://www.spxpresso.com). El troyano tiene la intención de modificar las transacciones financieras, probablemente para reenviar estas transacciones a la cuenta bancaria del hacker. El troyano lo hace al afectar la biblioteca de tiempo de ejecución de Java que utiliza el cliente Xpresso que está escrito en Java.

El troyano no se probó en el laboratorio de virus, por lo que no podemos garantizar el envío de transferencias de dinero a hackers o cualquier otra cuenta. El hecho es que troyano intercepta transacciones y modifica datos en bloques de control de transacciones.

El troyano se distribuye y se adjunta a los archivos Win32 PE EXE. El código troyano se coloca al final de los archivos PE EXE de forma similar a virus. Cuando se ejecuta el archivo afectado, el código del troyano obtiene el control e instala el componente principal del troyano en el sistema. El control se devuelve al archivo de host.

El troyano no puede afectar a otros archivos PE EXE por sí mismo. Hubo un componente troyano "cayendo" especial (aplicación Win32 de línea de comandos) que encontró el código de troyano adjunto a los archivos EXE de la víctima a petición del usuario.

Al instalar en el sistema, el troyano extrae de su código el componente VxD (componente troyano principal) y lo escribe en el archivo MSREBOOT.VXD recién creado en el directorio del sistema de Windows. Este VxD luego se registra en la clave de registro "Servicios VxD".

También hay más claves creadas allí:

HKLMSystemCurrentControlSetServicesVxDREBOOT
RebootData = [datos de longitud cero]
Start = 00
StaticVxD = "* REBOOT, MSREBOOT.VXD"

La primera clave indica la fecha en que Trojan se desinstalará del sistema. El troyano borra su archivo VXD con ceros y luego elimina ese archivo.

La segunda clave es desconocida.

La tercera clave es la clave de registro de carga automática que obliga a Windows a cargar y activar el archivo VXD cuando se inicia Windows.

Cuando se activa el archivo Trojan VXD, el procedimiento troyano principal supervisa el proceso de apertura de archivos y busca la biblioteca de ejecución de Java, JRT3230.DLL. El troyano omite la carga de la biblioteca, espera cuando se completa la carga y engancha la función Java "do_execute_java_method_vararg".

El hooker luego engancha todos los datos procesados ​​por esa función, incluidas las transferencias bancarias que se realizan con el cliente Xpresso. El troyano analiza la estructura de solicitud de transferencia y reemplaza algunos campos en esa solicitud con otros valores. Parece que el troyano reemplaza el número de cuenta bancaria de destino original con el de hacker.

Leer más

Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com

¿Has encontrado algún error en la descripción de esta vulnerabilidad? ¡Háznoslo saber!
Kaspersky Next:
ciberseguridad redefinida
Leer más
Nuevo Kaspersky
¡Su vida digital merece una protección completa!
Leer más
Confirm changes?
Your message has been sent successfully.