INFORMACION SOBRE NUEVA VARIANTE DE TROYANO BANCARIO SPYEXE QUE GENERA FICHERO “c:\cleansweep.exe\cleansweep.exe”

Un troyano está afectando a los usuarios de la mayoría de los bancos que utilizan tarjeta de coordenadas.

Recuerda que tu banco NUNCA te pedirá todas las coordenadas de tu tarjeta, si por algun motivo esto te ocurre, con seguridad te encuentras siendo víctima de un fraude.

Lo que hace que este troyano (o malware) sea mas dificil de identificar que los típicos phishing, es que se ejecuta cuando el cliente infectado ingresa a la web de su banco. Esto no es un problema de seguridad del banco, sino un archivo infectado que esta ubicado en el computador del cliente. Este troyano tiene la lógica suficiente para identificar que se encuentra en un sitio web de un banco que utiliza tarjeta de coordenadas y entonces levanta una ventana con un “aviso de seguridad” solicitando realizar una “verificacion del sistema” donde solicitan todas las coordenadas de la tarjeta.

Se nota que este troyano ha sido realizado por expertos, ya que toma el diseño y datos de la web donde se ejecuta, confundiendo asi más a los clientes.

En la  imagen, podemos ver el ejemplo de como se ve el troyano ejecutandose (en la web del bbva), solicitando los datos al cliente. Si el cliente ingresa los datos de su tarjeta, ya tiene comprometida toda su informacion de seguridad ya que el troyano obtuvo el root y clave de acceso del cliente al momento de ingresar al sitio.

Investigando por la web, encontramos que este troyano es el  “Win32/SpyEyes“, lo cual genera en los computadores infectados el siguiente archivo “c:\cleansweep.exe\cleansweep.exe” y crea la siguiente informacion en el registro de windows:

•Clave: ‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run’
•Valor: cleansweep.exe = “C:\cleansweep.exe\cleansweep.exe”‘

Tambien aparece informacion de este troyano bajo el nombre
“Trojan.W32/Llac.CIQ”. Pueden encontrar mas informacion sobre el troyano en este link

En la imagen podemos ver el mismo troyano actuando en la web del Banco Estado, como pueden apreciar se ejecuta de la misma manera que en el caso anterior. Incluso el mensaje es el mismo, “Banco XXX siempre trata de encontrar sus expectativas más altas. por eso siempre usamos la ultima tecnología de seguridad para nuestros clientes. Por lo tanto nuestro Departamento de Antifraude ha desarrollado un nuevo sistema de seguridad que elimine cualquier posibilidad del acceso de la tercera persona a sus datos, cuentas y fondos…” un párrafo bastante poco creible y mal redactado para un banco si lo analizan bien.

[Sigue leyendo información importante sobre este caso y la solución que realizó un banco]
Los bancos han reaccionado rápidamente enviando comunicados a sus clientes y mostrando avisos de seguridad en sus sitios web, con recomendaciones como “nunca entregues tus datos personales, claves de acceso ni coordenadas de las tarjetas o tokens, nunca sigas links, etc.“, esto ya que la forma más efectiva de prevención es tener a los clientes informados. Sin embargo, muchos clientes no leen estos avisos y tienen “ceguera” a los banners donde el banco trata de informar a sus clientes de los riesgos.

Aquí podemos ver un ejemplo del comunicado de seguridad del Banco Corpbanca, poniendo un ejemplo de un phishing. Las recomendaciones a seguir en caso de un troyano son practicamente las mismas.

Como deciamos anteriormente, muchos clientes no ven estos avisos de seguridad. En este sentido, encontramos destacable la accion realizada por el Banco Security, quienes viendo el comportamiento del troyano (que escribe codigo html y javascript web al final de la pagina donde se ejecuta) logró realizar modificaciones en sus paginas web de modo de anular la accion de este malware, reemplazando la zona donde al cliente le piden todas sus coordenadas por un aviso de seguridad, donde le informa que está infectado con un virus que esta tratando de capturar sus claves, le recomienda no seguir operando en ese ordenador y lo invita a comunicarse directamente con servicio al cliente para más información.

Ésta es una forma eficiente de prevenir la accion del troyano y además alertar oportunamente al cliente, para que tome medidas preventivas y no post-fraude que es lo que está pasando en el resto de los casos de muchos bancos.

Una información que leimos en un foro pero que no hemos podido comprobar, es que usuarios infectados por el virus tienen problemas con los acentos, en lugar de colocar los acentos normales (á é í ó ú), estos son reemplazados por “´´a”, “´´e”,  “´´i “, “´´o” y “´´u” respectivamente. Si te ocurre esto, ejecuta un antivirus actualizado o un programa de eliminacion de SpyWare, para descartar cualquier riesgo.

A continuación les entregamos nuestras recomendaciones:

¿QUE HACER SI FUISTE VICTIMA DE ESTE FRAUDE?

Si ya ingresaste tus claves, te recomendamos lo siguiente:

•Comunicate de inmediato con el servicio de atención a clientes del Banco y pide el bloqueo de tu tarjeta de coordenadas. Si realizas esto lo suficientemente rápido, el estafador no podrá operar con las claves que obtuvo.
•Pide tambien el bloqueo de tu clave de acceso, incluso ve al sitio web del banco  y bloqueala tu mismo ingresandola mal 3 veces seguidas. Desbloqueala solo cuando sepas que no existe ningun riesgo.
•Ejecuta un antivirus actualizado o un programa de eliminacion de SpyWare, que limpie este troyano de tu computador.
•Si tienes sistema operativo Windows, actualiza todos los parches de seguridad

Ya hemos pedido a un usuario afectado por este troyano, una muestra de dicho fichero para pasar a controlarlo en la siguiente version del ELISTARA, pero de momento quienes sospechen de él, pueden examinar su ordenador con el ELIMD5.EXE con el siguiente hash: 6E3C86E4554DE65435AEDE7DF425FA66   , segun  esta información de la que podemos ver el siguiente informe reciente (de esta semana) del VirusTotal:
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.05.16.00 2011.05.15 Trojan/Win32.VBKrypt
AntiVir 7.11.8.25 2011.05.16 TR/EyeStye.P
Antiy-AVL 2.0.3.7 2011.05.16 Trojan/Win32.SpyEyes.gen
Avast 4.8.1351.0 2011.05.15 Win32:Inject-AFS
Avast5 5.0.677.0 2011.05.15 Win32:Inject-AFS
AVG 10.0.0.1190 2011.05.15 VBCrypt.AI
BitDefender 7.2 2011.05.16 Trojan.Generic.KDV.203500
CAT-QuickHeal 11.00 2011.05.16 –
ClamAV 0.97.0.0 2011.05.16 –
Commtouch 5.3.2.6 2011.05.16 –
Comodo 8718 2011.05.16 UnclassifiedMalware
DrWeb 5.0.2.03300 2011.05.16 Trojan.Inject.33444
eSafe 7.0.17.0 2011.05.15 Win32.Injector.Fxv
eTrust-Vet 36.1.8326 2011.05.13 –
F-Prot 4.6.2.117 2011.05.16 –
F-Secure 9.0.16440.0 2011.05.16 –
Fortinet 4.2.257.0 2011.05.14 W32/PWS_y.DJL!tr
GData 22 2011.05.16 Trojan.Generic.KDV.203500
Ikarus T3.1.1.103.0 2011.05.16 Trojan.Win32.VBKrypt
Jiangmin 13.0.900 2011.05.15 TrojanSpy.SpyEyes.cfp
K7AntiVirus 9.103.4648 2011.05.14 Riskware
Kaspersky 9.0.0.837 2011.05.11 Trojan-Spy.Win32.SpyEyes.hbw
McAfee 5.400.0.1158 2011.05.16 Generic PWS.y!djl
McAfee-GW-Edition 2010.1D 2011.05.15 Generic PWS.y!djl
Microsoft 1.6802 2011.05.16 Trojan:Win32/EyeStye.P
NOD32 6124 2011.05.16 Win32/Spy.SpyEye.CA
Norman 6.07.07 2011.05.15 –
nProtect 2011-05-15.01 2011.05.16 Trojan.Generic.KDV.203500
Panda 10.0.3.5 2011.05.15 Generic Trojan
PCTools 7.0.3.5 2011.05.13 Trojan.Gen
Prevx 3.0 2011.05.16 –
Rising 23.57.04.05 2011.05.14 –
Sophos 4.65.0 2011.05.16 Mal/Generic-L
SUPERAntiSpyware 4.40.0.1006 2011.05.16 –
Symantec 20101.3.2.89 2011.05.16 Trojan.Gen
TheHacker 6.7.0.1.198 2011.05.16 Trojan/Injector.fxv
TrendMicro 9.200.0.1012 2011.05.16 –
TrendMicro-HouseCall 9.200.0.1012 2011.05.16 –
VBA32 3.12.16.0 2011.05.12 –
VIPRE 9294 2011.05.16 Trojan.Win32.Generic!BT
ViRobot 2011.5.16.4460 2011.05.16 –
VirusBuster 13.6.355.1 2011.05.15 TrojanSpy.SpyEyes!6b+dnTsV0kc
Additional informationShow all
MD5   : 6e3c86e4554de65435aede7df425fa66
SHA1  : df8a8483515dd0db3494d796ede33fddb369df10
File size : 176128 bytes
publisher….: xypfnde
copyright….: xziueuyp
product……: wvqrrxwiuxy
description..: wsnvihzlyaoubckag
original name: gnwvaqprrl.exe
internal name: gnwvaqprrl
file version.: 14.14.0012

saludos

ms, 21-5-2011