Comisión de Seguridad

ir a menu
ir a noticias
ir a bloques informativos
Ir a Página sobre accesibilidad
Ir a Página de Inicio
Ir a Página de Texto
Ir a Mapa web
Ir a Buscador
Ir a Aviso Legal
Contactar con la Asociación de Internautas
Comprueba tu velocidad de conexion, ADSL, Cable, RTB

Menu

Noticias

Ayuda a la Asociación de Internautas con tu donación

II CAMPAÑA CONTRA EL FRAUDE ONLINE Y POR LA SEGURIDAD EN LA RED.

Detectado nuevo troyano bancario que afecta a varias entidades bancarias. (Análisis del troyano 1ª parte)

Tras el análisis de varios correos “Honeypots” (en realidad no seria la definición exacta, tratándose de un cuenta de correo electrónico, sistema de detección de intrusos basado en señuelos) para la detención de correos fraudulentos, con los que cuenta la Comisión de seguridad de la Asociación de Internautas se pudo detectar un nuevo caso de tarjeta falsa que contiene un troyano bancario.

En el siguiente artículo se realiza un análisis del troyano bancario hasta encontrar los posibles receptores de los datos robados, a los bancos afectados.

30-4-07 ACTUALIZADO

26-04-2007 - Advertencia; Por motivos de seguridad se omiten algunos datos.


La recepción de este troyano bancario se produce tras recibir un correo electrónico que simula ser una llamativa tarjeta de un pequeño cachorro,



30-4-07 ACTUALIZADO, NOTIFICACIÓN FALSA DE DÉBITOS



Si pulsamos sobre la imagen o el enlace se produce la descarga de un fichero ejecutable,




Analizamos el servidor comprobamos que hay dos ficheros ejecutables, esto es debido porque la descarga se hace de forma aleatoria dependiendo el navegador usado,





Lo ficheros localizados se llaman; Ocarteiro.exe y amizade.exe ambos de 43,5 KB (44.544 bytes)

Comprobamos los ficheros y vemos que están comprimidos con “PECompact” (compresor de ficheros EXE, COM y DLL) , los descomprimimos para continuar el análisis sin tener que ejecutarlos (el análisis también se puede realizar con una análisis exhaustivo forense, pero no es necesario), vemos que este troyano es de la familia downloader (troyano que hace una descarga de otro programa mas potente),

Encontramos los nuevos pasos que dará el troyano y su nueva descarga, pero antes el troyano hace visita a una web para que el usuario no se crea que es una trampa,






El troyano hace una nueva descarga silenciosa y ejecución del nuevo fichero, realizamos otro análisis en el nuevo servidor y detectamos varios ficheros,



Los ficheros son; internet.exe y static.exe de 1,08 MB (1.135.104 bytes)



Ambos ficheros están comprimidos al descompilarlo se quedan en un tamaño de 9,36 MB (9.820.160 bytes) cada uno, lo primero que intentamos es comprobar su acción y no es mas que suplantar en nuestro navegador las web de distintas entidades bancarias y luego mandar los datos robados por correo electrónico, ejemplos de entidades suplantadas:









Pero lo mas importante de este análisis es saber donde van los datos obtenidos, pronto encontramos resultados.

Los correos electrónicos detectados son;
infochega2@gmail.com - novaera.lima@gmail.com - vamoconta2@gmail.com - empresa.r0x@gmail.com - timotio.lima@gmail.com






Como funciona un troyano bancario en el ordenador de una victima, 2ª PARTE:
http://seguridad.internautas.org/html/4189.html


Si usted recibe un correo de un extraño, un correo no deseado, incluso este tipo de tarjetas les recomendamos la máxima prudencia y si es posible no haga caso de este tipo de correos electrónico y NUNCA pulsar sobre los enlaces que contiene.

La mayoría de los antivirus no detecta este tipo de ficheros malware.

Comisión de Seguridad en la Red.
José María Luque Guerrero
http://seguridad.internautas.org - www.seguridadenlared.org - www.seguridadpymes.es
Asociación de Internautas. www.internautas.org


II CAMPAÑA CONTRA EL FRAUDE ONLINE Y POR LA SEGURIDAD EN LA RED

El Instituto Nacional de Tecnologías de la Comunicación (INTECO), la Asociación de Internautas, Panda Software , Telefónica y ONO lanzan la "II CAMPAÑA CONTRA EL FRAUDE ONLINE Y POR LA SEGURIDAD EN LA RED" www.seguridadenlared.org/.La misma se desarrollará desde el 15 de marzo hasta el lunes 9 de mayo de 2007

Volver<<< Volver
ImprimirVersión para imprimir Impresora | Versión PDF PDF
Enviar artículo a un amigo:
Las direcciones de correo no se almacenan en parte alguna, simplemente son utilizadas para el envio del correo al destinatario

Bloques informativos

crimeware

Seguridad Pymes

Logos y Marcas propiedad de sus respectivos autores
Se permite la reproducción total o parcial de todos los contenidos siempre que se cite la fuente y se enlace con el original
Logo AI pequeño
© 1998-2015 Asociación de Internautas
Aviso Legal - Contacto
¡Nuestro RSS! | Accesibilidad

¡Internautas Televisión! |¡Alertvir! |¡Seguridad en las PYMES! |¡Comisión de Seguridad! |¡Tienda de la Asociación de Internautas! |¡Seguridad en la Red! |¡Foros públicos de la Asociación de Internautas!