Trojan/Bancos.P

Trojan/Bancos.P

Nombre:	Trojan/Bancos.P Alias: PWSteal.Bancos.P, PWS-Banker.f, Trojan-Spy.Win32.Banker.jj, TROJ_BANKER.EY
Tipo:	Troyano
Tamaño:	11,264 bytes
Origen:	Internet
Destructivo:	NO
En la calle (in the wild):	SI
Detección y Eliminación	The Hacker 5.7, Registro de Virus al 13/02/2005.

Descripción

Trojan/Bancos.P, es un troyano que intenta robar información personal de usuarios cuando hacen transacciones en línea (online) en bancos internacionales. También roba passwords guardados de Microsoft Outlook.

Cuando el troyano se ejecuta se copia a si mismo dentro de:

%windows%\process.exe

Nota:

- %windows% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT)

Además modifica una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"process.exe"="%windows%\process.exe"

También crea la siguiente entrada como una marca de su infección:

HKEY_LOCAL_MACHINE\Software\Microsoft\UserData
"UID"="[Generated ID]"

El troyano queda a la espera de que el usuario abra una ventana con el Internet Explorer y capturara todas las acciones que se realicen en sitios que el usuario visite y que contenga uno de los siguientes textos:

bank1.netbanking.ch
banking.halifax-online.co.uk
bob.bankwest.com.au
ib.national.com.au
ibank.barclays.co.uk
internetbanking.suncorpmetway.com.au
myonlineaccounts2.abbeynational.co.uk
olb.westpac.com.au
olb2.nationet.com
online.lloydstsb.co.uk
www.anz.com
www.bendigobank.com.au
www.boq.com.au
www.citibank.com.au
www.ebank.hsbc.co.uk
www.halifax-online.co.uk
www.iblogin.com
www.natwest.com
www.ukpersonal.hsbc.co.uk
www2.netbank.commbank.com.au

Finalmente el troyano envía toda la información capturada a un servidor Web que se encuentra en el dominio de "woolenhol.com"