Un troyano que apodan “TATANGA”, derivado del Spy Eye, ataca a los usuarios de la banca europea

Un nuevo troyano bancario cuenta con funciones de Man in the Browser (MitB) y, como SpyEye, puede realizar transacciones automáticas, suplantar el balance de las cuentas y las operaciones bancarias de los usuarios y utiliza técnicas de rootkit para ocultar su presencia.

Bancos de España, Reino Unido, Alemania y Portugal se han visto afectados por este malware

Este troyano está escrito en C++ y utiliza técnicas de rootkit para ocultar su presencia, aunque, en ocasiones, sus archivos son visibles. “El troyano descarga un número de módulos encriptados (DLLs), que se desencriptan en la memoria cuando se inyectan en el navegador u otros procesos para evitar la detección del software antivirus”

Al parecer, este malware bancario ha atacado a usuarios de banca online de Alemania, Portugal, España y Reino Unido. “Como otros troyanos de su clase, utiliza un archivo de configuración encriptado. Este archivo está en formato XML y tiene un elemento para cada país afectado”. “Dependiendo del banco objetivo –continúan-, el troyano puede hacerse con las credenciales de forma pasiva o solicitarlas con el fin de acometer transacciones fraudulentas durante la sesión de usuario”.

El malware puede inyectar HTML en todos los navegadores más populares: Explorer, Firefox, Chrome, Opera, Safari, Minefield, Maxthoon, Netscape, y Konqueror.

Por el momento, el ratio de detección de este troyano ·es muy bajo” y pocos motores antivirus pueden detectarlo”.

Fuente

segun indican en la Fuente, corresponde a este analisis:

File name: eEIkYcZP.exe
Submission date: 2011-02-17 20:51:06 (UTC)
Current status: finished
Result: 3 /43 (7.0%)
VT Community

malware
Safety score: 0.0%
Compact Print results

There is a more up-to-date report (29/43) for this file.

Antivirus Version Last Update Result
AhnLab-V3 2011.02.14.02 2011.02.14 –
AntiVir 7.11.3.131 2011.02.17 –
Antiy-AVL 2.0.3.7 2011.02.17 –
Avast 4.8.1351.0 2011.02.17 –
Avast5 5.0.677.0 2011.02.17 –
AVG 10.0.0.1190 2011.02.17 Generic20.CONJ
BitDefender 7.2 2011.02.17 –
CAT-QuickHeal 11.00 2011.02.17 –
ClamAV 0.96.4.0 2011.02.17 –
Commtouch 5.2.11.5 2011.02.17 –
Comodo 7723 2011.02.17 Heur.Suspicious
DrWeb 5.0.2.03300 2011.02.17 –
Emsisoft 5.1.0.2 2011.02.17 –
eSafe 7.0.17.0 2011.02.17 –
eTrust-Vet 36.1.8166 2011.02.17 –
F-Prot 4.6.2.117 2011.02.17 –
F-Secure 9.0.16160.0 2011.02.17 –
Fortinet 4.2.254.0 2011.02.17 –
GData 21 2011.02.17 –
Ikarus T3.1.1.97.0 2011.02.17 –
Jiangmin 13.0.900 2011.02.17 –
K7AntiVirus 9.86.3882 2011.02.17 –
Kaspersky 7.0.0.125 2011.02.17 –
McAfee 5.400.0.1158 2011.02.17 –
McAfee-GW-Edition 2010.1C 2011.02.17 –
Microsoft 1.6502 2011.02.17 –
NOD32 5884 2011.02.17 –
Norman 6.07.03 2011.02.17 –
nProtect 2011-02-10.01 2011.02.15 –
Panda 10.0.3.5 2011.02.17 –
PCTools 7.0.3.5 2011.02.17 –
Prevx 3.0 2011.02.17 –
Rising 23.45.03.06 2011.02.17 [Suspicious]
Sophos 4.61.0 2011.02.17 –
SUPERAntiSpyware 4.40.0.1006 2011.02.17 –
Symantec 20101.3.0.103 2011.02.17 –
TheHacker 6.7.0.1.132 2011.02.17 –
TrendMicro 9.200.0.1012 2011.02.17 –
TrendMicro-HouseCall 9.200.0.1012 2011.02.15 –
VBA32 3.12.14.3 2011.02.17 –
VIPRE 8454 2011.02.17 –
ViRobot 2011.2.17.4315 2011.02.17 –
VirusBuster 13.6.206.0 2011.02.17 –
Additional informationShow all
MD5   : 2c3a612b7a40a1014a74064ebcd9c39f
SHA1  : 5e844e4603027a6be855f4ef2d679a72fbcc224e

File size : 262144 bytes

Mas info en http://securityblog.s21sec.com/2011/02/tatanga-new-banking-trojan-with-mitb.html

Si se sospecha la posibilidad de estar infectado con el mismo, arrancar en MODO SEGURO y lanzar el ELIMD5.EXE con este hash:

2c3a612b7a40a1014a74064ebcd9c39f

y en el caso de detectar algun fichero al respecto, enviarnoslo para analizar e implementaremos su control y eliminacion en la siguiente version del ELISTARA, de lo cual informaremos

saludos

ms, 2-3-2011