Peligroso Troyano bancario “Bebloh” – Detección y envio de muestras

Alertados de que otro cazapasswords bancario anda haciendo de las suyas en las cuentas bancarias, como puede verse en el extracto que posteamos a contibuacion, al final del mismo ofrecemos manera de controlarlo tecnicamente con el MD5 y nuestro ELIMD5.EXE

El troyano se conecta a un servidor de control de mando para recibir instrucciones del tipo cuánto dinero robar a la víctima y dónde enviarlo.

Bebloh es un troyano que se propaga a través de lo que se denomina “drive-by-download techniques” (técnicas de descarga), pudiendo ser capaz, incluso, de infiltrarse en las páginas web legítimas y esconder en ellas trampas insólitas. Los usuarios incautos que utilizan navegadores que no están parcheados u otro software que no esté debidamente actualizado, son infectados con tan sólo visitar dichas páginas.

Rik Ferguson, Analista de Seguridad de Trend Micro, ha estado investigando este troyano y expone a continuación el caso de un usuario de banca online que ha sido víctima de este ataque, en el que una suma importante de dinero ha sido transferida desde su cuenta bancaria a otra de un desconocido situada a cientos de kilómetros.

El usuario afectado se conectó a su banco para realizar unas operaciones desde su domicilio y todo parecía ir con normalidad hasta que al día siguiente comprobó que una de las transferencias no llegó a su destino. Revisando su cuenta desde el PC de su puesto de trabajo se sorprendió al descubrir la existencia de una transferencia “invisible” de 5.000 euros.

El día en que este suceso fue comunicado, una persona en Alemania informó sobre otro incidente. Una mujer había conocido a unas personas en una sala de chats rusa que le ofrecieron 500 euros si realizaba una transferencia. Parte de la cantidad iría a una cuenta en Turquía y el resto a una cuenta en Rusia. El titular de la “cuenta señuelo” era el hijo de esta señora. Como era de esperar, ambos incidentes estaban relacionados
Una vez instalado en un equipo, el troyano se conecta a un servidor de control de mando para recibir instrucciones del tipo cuánto dinero robar a la víctima y dónde enviarlo. El troyano es lo suficientemente sofisticado como para ser capaz de determinar con exactitud cuánto dinero se puede extraer de una cuenta sin que se rechace la orden y ocultar que estas transferencias han sido realizadas, es decir, son “invisibles” para la víctima. 
Fuente
 
Para su control puede aplicarse su hash MD5 :   5A6AD51CE0D8168CEE2A1CB866AA43D5 facilitado  por threatexpert y con el ELIMD5 localizarlo, si bien pedimos esta vez que primero se desmarque la casilla de ELIMINAR FICHEROS AUTOMATICAMENTE, y solo se explore sin eliminarlos, y en el caso de que se detecten, simplemente se les añada extensión .VIR para que ya no entren en funcionamiento a partir del siguiente reinicio, y se nos envien dichos ficheros para analizar y controlar, con lo que podremos añadir su control y eliminacion no solo de dichos ficheros, sino de otros que genere, asi como restaurar las claves que modificara.

ELIMD5.EXE
tos/descargas/277/elimd5exe.asp

Tras ello postearnos el contenido de c:\infosat.txt para ver el resultado del proceso.

Y evidentemente, si se ha detectado, avisar al banco para evitar transferencias no desadas…

saludos

ms, 26-11-2009