Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/03/2012
Nou troià bancari roba dades i després borra les seues empremtes
Bitdefender ha detectat un nou troià bancari que a través d’una intricada sèrie de descàrregues i instal·lacions roba les dades dels comptes bancaris de l’usuari.
El procés s’inicia amb la infecció per part dels ciberdelinqüents de webs molt visitades amb aplicacions Java malicioses, conegudes com applets. Estos components maliciosos són detectats per Bitdefender com a Trojan.Downloader.Java.OpenConnection.BA, disfressats d’Adobe Flash Player, anteposant-se als arxius HTML nets per tal d’assegurar la seua execució a l’obrir la pàgina HTML infectada. Una vegada que s’ha executat, este codi maliciós descàrrega i instal·la altres arxius infectats en l’ordinador de l’usuari.
L’arxiu descarregat (Trojan.Generic.KD.218227) guarda en l’equip de l’usuari amb el nom temp_flaix_file.phx. Descarrega i instal·la programari maliciós des d’una llista (codificada en el programa de descàrrega) d’una dotzena d’enllaços que remeten diferents troians bancaris.
Per a assegurar-se de l’execució automàtica, el virus crea un accés directe a si mateix en la carpeta "%Start Menú%ProgramsStartup" amb un nom buit amb extensió ".lnk". Cada vegada que el sistema s’obri, tots els programes amb accessos directes presents en la carpeta s’inicien automàticament, inclòs el programari maliciós.
Una vegada que està en el sistema, el virus s’actualitza per si sol i descarrega noves versions d’una altra llista d’enllaços. Eixes actualitzacions s’amaguen en diferents ubicacions per a assegurar la seua continuïtat inclús si es detecta algun arxiu.
Este troià és molt difícil de rastrejar ja que només es pot accedir als enllaços de la segona llista a través del virus, la qual cosa dificulta a les empreses de seguretat rastrejar l’origen del programari maliciós. És a dir, quan un proveïdor d’antivirus es fa amb una llista actualitzada, normalment pot seguir els enllaços, bloquejar-los i afegir les seues rutines antiprogramari maliciós. Però en esta ocasió només té una llista amb enllaços que no pot rastrejar ja que una vegada que el troià descarrega el programari maliciós s’elimina automàticament i n'esborra qualsevol rastre.
Per a evitar ser víctima d’esta nova estafa, Bitdefender recomana instal·lar un bon antivirus i mantindre’l sempre actualitzat. A més, cal evitar instal·lar qualsevol programari que provinga d’una finestra emergent, sobretot si no l’hem sol·licitat amb anterioritat.