Trojan.W32/Wexd
Alias:
PWS-Wexd (McAfee)
Descripción:
Se trata de un troyano que captura las pulasaciones del teclado
cuando se accede a ciertas direcciones de bancos de brasileños.
Detalles:
Cuando se ejecuta este troyano muestra una ventana (en portugués)
de titulo "Identificador de Chamadas".
El troyano tiene tres componentes:
- ebina.exe
- thost.dll
- osyst32.dll
El troyano deja los siguientes ficheros en el directorio %WINDIR%
(C:\Windows o C:\Winnt):
- dod__10d001.ux (encrypted)
- ech.exe (trojan body)
- mct.sys (log file)
- sct.sys (log file)
- win.txt (encrypted information)
- wini.sys (contains information
about system's IP address)
Cuando se accede a alguno de los siguientes sitios este troyano
capturará las pulsaciones del teclado y del ratón y guardará esta
información en formato encriptado:
- https://bankline.itau.com.br/GRIPNET/gracgi.ex
- https://ibpf.unibanco.com.br/index.asp
- https://ibpf.unibanco.com.br
- https://wwws3.hsbc.com.br/ITE/common/html/frameset.htm?central=/HOB-INFRA/servlets/Migrac
- https://internetcaixa.caixa.gov.br/Internet
- https://www.realsecureweb.com.br
- https://wwwss.bradesco.com.br/scripts/ib2k1.dll
- https://netbanking2.banespa.com.br/default.asp
- https://piloto.abnamro.com.br/scripts/
- https://www2.bancobrasil.com.br/aapf/aai/login.pbk
- https://ibank.besc.com.br/CWS/CONTEXTO
- https://www2.bancobrasil.com.br/aapf
- http://siteseguro.ib.banco1.net/asp/login/login.asp?agenci
- https://wwws.nossacaixa.com.br/logincheck.asp
- https://empresarial.unibanco.com.br/
El fichero que contiene toda la información capturada se envía por
e-mail (usando servidor SMTP smtp.bol.com.br) a la dirección del
autor del troyano.
Solución:
Uso de antivirus actualizado.
Más información acerca de este virus en:
Fuente: red.es |
