Troyanos que espían contraseñas
La principal tarea del troyano Bankash.F es obtener varios nombres de usuario y contraseñas de los equipos infectados.
El troyano Bankash.F representa una amenaza bastante grave para los datos almacenados en las computadoras. Esto se debe a que el troyano se puede utilizar para obtener datos de varias formas. Bankash.F registra constantemente las pulsaciones de teclas, recopila direcciones de correo electrónico y supervisa las comunicaciones web. Además, en algunos casos, incluso puede "pasar por alto" los cortafuegos.
Cuando se inicia Bankash.F, realiza las siguientes acciones:
1. Cree un archivo rfa.dll en el directorio de Windows.
2. Cree los siguientes archivos:
% Windir% \ html.log
% Windir% \ email.log
% Windir% \ pass.log
% Windir% \\\ eq.log
3. Cree las siguientes entradas en la base de datos de registro:
HKEY_CLASS_ROOT\CLSID\{811ABD55-9D94-4892-AB46-11D7DA29B8AE }
HKEY_CLASS_ROOT\TypeLib\{A49460C9-D134-4C21-BF35-EDD17D477D C8}
HKEY_CLASS_ROOT\Interface\{5D463D75-B21F-4D6A-AF92-CC0EC2CB F25F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Explorer\Browser Helper Objects\{811ABD55-9D94-4892-AB46-11D7DA29B8AE}
HKEY_CLASS_ROOT \ RFA.RFA
HKEY_CLASS_ROOT \ RFA.RFA.1
4. Monitorea constantemente las alertas enviadas por los firewalls e intenta ocultarlas al usuario y luego permitir las conexiones.
Supervisa los mensajes de firewall que contienen uno de los siguientes textos:
Advertencia: algunos componentes cambiaron
Advertencia: los componentes han cambiado. ¿Está seguro de que desea salir de esta página?
Estático
Microsoft Internet Explorer
Crear regla para% s
5. Busque direcciones de correo electrónico en archivos con diferentes extensiones, que se almacenan en el archivo% Windir% \ email.log.
6. Copie las contraseñas guardadas localmente en% Windir% \ pass.log.
7. Registre las pulsaciones de teclas que guardó en el archivo% Windir% \ html.log.
8. Las solicitudes HTTP GET se almacenan en el archivo% Windir% \\\ eq.log.
9. Se actualiza a intervalos específicos a través de Internet.
Cuando se inicia Bankash.F, realiza las siguientes acciones:
1. Cree un archivo rfa.dll en el directorio de Windows.
2. Cree los siguientes archivos:
% Windir% \ html.log
% Windir% \ email.log
% Windir% \ pass.log
% Windir% \\\ eq.log
3. Cree las siguientes entradas en la base de datos de registro:
HKEY_CLASS_ROOT\CLSID\{811ABD55-9D94-4892-AB46-11D7DA29B8AE }
HKEY_CLASS_ROOT\TypeLib\{A49460C9-D134-4C21-BF35-EDD17D477D C8}
HKEY_CLASS_ROOT\Interface\{5D463D75-B21F-4D6A-AF92-CC0EC2CB F25F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Explorer\Browser Helper Objects\{811ABD55-9D94-4892-AB46-11D7DA29B8AE}
HKEY_CLASS_ROOT \ RFA.RFA
HKEY_CLASS_ROOT \ RFA.RFA.1
4. Monitorea constantemente las alertas enviadas por los firewalls e intenta ocultarlas al usuario y luego permitir las conexiones.
Supervisa los mensajes de firewall que contienen uno de los siguientes textos:
Advertencia: algunos componentes cambiaron
Advertencia: los componentes han cambiado. ¿Está seguro de que desea salir de esta página?
Estático
Microsoft Internet Explorer
Crear regla para% s
5. Busque direcciones de correo electrónico en archivos con diferentes extensiones, que se almacenan en el archivo% Windir% \ email.log.
6. Copie las contraseñas guardadas localmente en% Windir% \ pass.log.
7. Registre las pulsaciones de teclas que guardó en el archivo% Windir% \ html.log.
8. Las solicitudes HTTP GET se almacenan en el archivo% Windir% \\\ eq.log.
9. Se actualiza a intervalos específicos a través de Internet.
