Av. La Paz 356 - Oficina 202 - Miraflores - Lima 18 - Peru Inicio avast! Antivirus NOD32 Antivirus Empresa Test antivirus Ventas y Soporte  242-5751  446-5567   soporte@pcokey.com     ventas@pcokey.com  Bankem.b Nombre: Bankem.b Tipo: Trojan Fecha: 16/SET/2006 Este troyano tiene la capacidad de robar información sensible del sistema (nombre del equipo, dirección IP, etc.). Graba la actividad de Internet Explorer cuando este está visitando determinados sitios, captura toda la información introducida en dicha página y la remite al atacante remoto a través de HTTP o por FTP. Este virus realiza las siguientes acciones: Deja en el sistema los siguientes archivos: %System%\ipv6monl.dll %System%\msn.exe %System%\hook.dll Nota: %System% es una variable que hace referencia al directorio del sistema de Windows. C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP). Crea los siguientes archivos: %System%\info.txt %System%\root.pfx %System%\my.pfx %System%\spc.pfx z.htm d:\c.wvw d:\zzxx.txt c:\2 Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows: Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valor: "MSN" = ""%System%\msn.exe" /INITSERVICE" Añade los valores indicados a la siguiente clave del registro de Windows: Clave: HKEY_CLASSES_ROOT\CLSID\{73364D99-1240-4dff-B11A-67E448373048}\InprocServer32 Valores: "(Predeterminado)" = "%System%\ipv6monl.dll" "ThreadingModel" = "apartment" "Enable Browser Extensions" = "yes" Para registrarse a sí mismo como un BHO (Objeto de Ayuda al Navegador), crea la siguiente clave en el registro de Windows: Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\browser helper objects\{73364D99-1240-4dff-B11A-67E448373048} Añade los valores indicados a la siguiente clave del registro de Windows como marcadores de infección y para su uso interno: Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load Valores: "zzz" = "0x37,0x35,0x34" "net_insll" = "0x44548544" "worg" = "47 E8 C8 BF 78 6D 50 41 7A 7E 4B 0E E7 DE EA 83 6F 4E 30 01 FF CA 90 3F 22 18 DE F6 73 24 E0 EF 70 29 F4" "cmpid" = "E 98 9A 97 54 28 1D 09 79 66 21 4E D1 9E F4 D0 34 11 73 50 D2 81 A7 21 01 45 E5 EE 51 7D C0 84 39 76 B7 FC 28 6D E6 C2 05 D0 A7 01 A3 D9 70 E7 34 23 F2 19 D2 BD 55 E0 71 F2 17 AF 26 CA 35 C3 41 C4 36 BE" "hky" = "0x4454854E" Nota: Los valores anteriores podrían variar dependiendo de la versión del lenguaje de Windows. Crea valores bajo la siguiente clave para modificar el cortafuegos de Windows: Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List Captura la siguiente información: Nombre del equipo. Dirección IP. Nombre del país. Sistema Operativo. Dirección de correo, servidor de correo, cuenta de correo y contraseña. Las pulsaciones realizadas sobre el teclado. Roba las contraseñas 'auto-completadas' del navegador Internet Explorer. Se conecta a la siguiente URLs para notificar al atacante remoto la situación y descargar datos de configuración: http:// www.boothost.biz/cmd[- elimiando -] Monitoriza la actividad del Internet Explorer para comprobar si la barra de direcciones contiene alguna de las siguientes URLs: [https://]banking.postbank.de/app/kontoumsatz.[- eliminado -] [https://]banking.postbank.de/app/welc[- eliminado -] [https://]banking.postbank.de/app/finanzsta[- eliminado -] banking.postbank.de/app/ueberweisung[- eliminado -] banking.postbank.de/app/finanzstatus.re[- eliminado -] banking.postbank.de/app/legitimati[- eliminado -] banking.postbank.de/app/kontoumsatz.u[- eliminado -] [https://]my.if.com/_mem_bin/formsl[- eliminado -] [https://]olb2.nationet.com [https://]ibank.barclays.co.uk/*/LoginM[- eliminado -] e-gold.com/acct/acct[- eliminado -] Recopila la información introducida en los formularios web de las direcciones anteriores, incluyendo las pulsaciones de teclado introducidas en varios campos y casillas de verificación de la pantalla de acceso. Envía la información robada al atacante remoto a través de HTTP o por FTP. Fuente: http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=6283. Lista de AYUDA de PC OKEY   NOD32 peru distribuidor de NOD32 en peru tienda NOD32 comprar NOD32 venta de NOD32 NOD32 corporativo avast peru distribuidor de avast en peru tienda avast comprar avast venta de avast avast corporativo antivirus virus eliminacion de virus antivirus gratis antivirus free download antivirus antivirus peru recuperacion de data disco dañado recuperacion de archivos recuperacion de passwords o contraseñas seguridad informatica Copyright © 2006 PC OKEY S.A.C. Todos los derechos reservados. NOD32 es marca registrada de ESET, avast! es marca registrada de ALWIL Software. Microsoft y Windows son marcas registradas de Microsoft Corporation. Todas las otras marcas y productos son marcas registradas de sus respectivos propietarios.