Burglar.A
PeligrosidadDañoPropagación

Efectos 

Burglar.A realiza las siguientes acciones:

• Obtiene la siguiente información del ordenador:
  - dirección IP.
  - nombre de la máquina.
  - área geográfica: región, estado o provincia; ciudad; latitud y longitud aproximada. Para obtener todos estos datos, Burglar.A utiliza Google Maps.
  La siguiente imagen es un ejemplo de la información que obtiene a través de Google Maps:
  
  
• Descarga el siguiente malware en el ordenador afectado:
  -Trj/Sters.P, que impide que tanto el usuario como los programas instalados accedan a los siguientes sitios web relacionados con compañías antivirus:
  82.165.237.14
  82.165.250.33
  avp.com
  ca.com
  casablanca.cz
  customer.symantec.com
  d66.myleftnut.info
  d-eu-1f.kaspersky-labs.com
  d-eu-1h.kaspersky-labs.com
  d-eu-2f.kaspersky-labs.com
  d-eu-2h.kaspersky-labs.com
  dispatch.mcafee.com
  download.mcafee.com
  downloads1.kaspersky.com
  downloads1.kaspersky.ru
  downloads2.kaspersky.ru
  downloads3.kaspersky.ru
  downloads4.kaspersky.ru
  downloads5.kaspersky.ru
  downloads-us1.kaspersky.com
  d-ru-1f.kaspersky-labs.com
  d-ru-1h.kaspersky-labs.com
  d-ru-2f.kaspersky-labs.com
  d-ru-2h.kaspersky-labs.com
  d-us-1f.kaspersky-labs.com
  d-us-1h.kaspersky-labs.com
  eset.casablanca.cz
  eset.com
  f-secure.com
  kaspersky.com
  kaspersky-labs.com
  liveupdate.symantec.com
  liveupdate.symantecliveupdate.com
  mast.mcafee.com
  mcafee.com
  mcafee.com
  metalhead2005.info
  my-etrust.com
  nai.com
  networkassociates.com
  nod32.com
  norton.com
  rads.mcafee.com
  secure.nai.com
  securityresponse.symantec.com
  sophos.com
  symantec.com
  trendmicro.com
  u2.eset.com
  u3.eset.com
  u4.eset.com
  u7.eset.com
  update.symantec.com
  updates.symantec.com
  updates1.kaspersky.com
  updates2.kaspersky.com
  updates3.kaspersky.com
  updates-us1.kaspersky.com
  us.mcafee.com
  viruslist.com
  viruslist.com
  www.avp.com
  www.ca.com
  www.eset.com
  www.f-secure.com
  www.kaspersky.com
  www.mcafee.com
  www.microsoft.com
  www.my-etrust.com
  www.nai.com
  www.networkassociates.com
  www.nod32.com
  www.norton.com
  www.sophos.com
  www.symantec.com
  www.trendmicro.com
  www.viruslist.com
  
  -Trj/Keylog.LN, que captura las pulsaciones de teclado introducidas por el usuario. De esta manera, puede obtener información confidencial del usuario, como contraseñas.
  
  - Trj/FileStealer.A, que descarga y ejecuta un servidor web en el ordenador. De este modo, consigue acceso remoto al sistema afectado.
  
  -Trj/Banker.CLJ. Este troyano roba contraseñas bancarias. Para ello, monitoriza si el usuario accede a alguna página web relacionada con entidades bancarias. Si es así, manda la orden Stop Navegate al navegador para detener la carga de la página, y muestra dos mensajes de alerta en los que se solicitan datos confidenciales al usuario, que después son enviados a su creador.
• Se conecta a la página web http://extec<bloqueado>.com/stats, en la que almacena información sobre los países y direcciones IP infectadas.

Metodo de Infección 

Burglar.A crea los siguientes archivos en el directorio de Windows:

• DSRSS.EXE, que corresponde a Trj/Keylog.LN.
• IESERVER.EXE, que corresponde a Trj/FileStealer.A.
• SMSS.EXE y WINLOGON.EXE, que corresponden a Trj/Sters.P.
• IEREDIR.EXE y PREREDIR.EXE, que corresponden a Trj/Banker.CLJ.

Burglar.A modifica el archivo HOSTS. Mediante esta modificación, Burglar.A evita que el usuario pueda acceder a diversos sitios web, que proporcionan actualizaciones para diversos programas antivirus.

Método de Propagación 

Burglar.A suele ser distribuido a través del correo electrónico en un mensaje con las siguientes características:

Asunto: uno de los siguientes:
Current Australia’s Prime Minister survived a hear attack
Prime Minister survived a heard attack
The life of the Prime Minister is in grave danger

Contenido:
SYDNEY, February 18, 2007 08:56pm (AEDT) –
The Prime Minister of Australia, John Howard have survived a heart attack. Mr Howard, 67 years old, was at Kirribilli House in Sydney, his prime residence,when he was suddenly stricken.
Mr Howard was taken to the Royal North Shore Hospital where the best surgeons of Australia are struggling for his life.
Click on the link below to get the latest information on the health
of the Prime Minister:
The Australian - keeping the nation informed
John Howard was born on the 26th of July, 1939. Howard is Australia's
second longest serving Prime Minister and leader of the Liberal Party
in Australia.

Este mensaje puede contener:

• un enlace a una página web, que si es pulsado, llevará a una de las siguientes páginas web:
  http://www.au<bloqueado>ews.com/
  http://www.theau<bloqueado>ews.com/
  http://www.thea<bloqueado>ews.org/
  que a su vez son redireccionadas a la página web www.ext<bloqueado>b.com, que es la página a partir de la cual comienza la infección.
• un archivo ejecutable adjunto que si es ejecutado, el ordenador quedará afectado por Burglar.A.

Otros Detalles  

Burglar.A está escrito en los lenguajes de programación Visual Basic y JavaScript. Este troyano tiene un tamaño de 2011 Bytes.