Banbra.GMH
PeligrosidadDañoPropagación

Efectos 

Banbra.GMH realiza las siguientes acciones:

• Cuando es ejecutado, muestra el siguiente mensaje de error:
  
  
• Se registra como BHO (Browser Helper Object), para poder monitorizar el tráfico de Internet y así poder ver las páginas web a las que el usuario accede.
• Cuando el usuario accede a la página web de ciertas entidades bancarias brasileñas, registra las pulsaciones de teclado introducidas en dicha página. De esta manera, consigue robar los datos bancarios del usuario afectado.
• Una vez recopilados los datos, se almacenan en unos archivos creados por el troyano y, posteriormente son enviados a su creador.

Metodo de Infección 

Banbra.GMH crea los siguientes archivos:

• MSTECS.EXE y FLASHCPX.DLL, en el directorio de sistema de Windows. El primero es una copia del troyano y el segundo es una DLL (Librería de Enlace Dinámico) que se registra como BHO (Browser Helper Object) con el objetivo de monitorizar las páginas web accedidas por el usuario.
• MSTECF.DAT y TRENZI.LOG, en el directorio de Windows. En estos archivos se almacena la información bancaria del usuario que ha recogido el troyano.

Banbra.GMH crea la siguiente entrada en el Registro de Windows:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  Machine Works, Inc. = %sysdir%\MsTecs.exe
  donde %sysdir% es el directorio de sistema de Windows.
  Mediante esta entrada, Banbra.GMH consigue ejecutarse cada vez que Windows se inicia.

Además, Banbra.GMH crea las siguientes entradas en el Registro de Windows para registrar la DLL FLASHCPX.DLL como BHO (Browser Helper Object):

• HKEY_CLASSES_ROOT\CLSID\{EA3AF112-1E9A-4B79-8A2D-F6670A6BCA35}
  (Default) = flashcpx.MyCN
• HKEY_CLASSES_ROOT\CLSID\{EA3AF112-1E9A-4B79-8A2D-F6670A6BCA35}\InprocServer32
  (Default) = %sysdir%\flashcpx.dll
• HKEY_CLASSES_ROOT\CLSID\{EA3AF112-1E9A-4B79-8A2D-F6670A6BCA35}\InprocServer32
  ThreadingModel = Apartment
• HKEY_CLASSES_ROOT\CLSID\{EA3AF112-1E9A-4B79-8A2D-F6670A6BCA35}\ProgID
  (Default) = flashcpx.MyCN
• HKEY_CLASSES_ROOT\CLSID\{EA3AF112-1E9A-4B79-8A2D-F6670A6BCA35}\TypeLib
  (Default) = {DD1F03A0-0864-4948-B951-9321A44B87D8}
• HKEY_CLASSES_ROOT\CLSID\{EA3AF112-1E9A-4B79-8A2D-F6670A6BCA35}\VERSION
  (Default) = 1.0
• HKEY_CLASSES_ROOT\flashcpx.MyCN
  (Default) = flashcpx.MyCN
• HKEY_CLASSES_ROOT\flashcpx.MyCN\Clsid
  (Default) = {EA3AF112-1E9A-4B79-8A2D-F6670A6BCA35}
• HKEY_CLASSES_ROOT\Interface\{31C5319E-23B5-4467-9644-59A2BD10DF7F}
  (Default) = MyCN
• HKEY_CLASSES_ROOT\Interface\{31C5319E-23B5-4467-9644-59A2BD10DF7F}\ProxyStubClsid
  (Default) = {00020424-0000-0000-C000-000000000046}
• HKEY_CLASSES_ROOT\Interface\{31C5319E-23B5-4467-9644-59A2BD10DF7F}\ProxyStubClsid32
  (Default) = {00020424-0000-0000-C000-000000000046}
• HKEY_CLASSES_ROOT\Interface\{31C5319E-23B5-4467-9644-59A2BD10DF7F}\TypeLib
  (Default) = {DD1F03A0-0864-4948-B951-9321A44B87D8}
• HKEY_CLASSES_ROOT\Interface\{31C5319E-23B5-4467-9644-59A2BD10DF7F}\TypeLib
  Version = 1.0
• HKEY_CLASSES_ROOT\TypeLib\{DD1F03A0-0864-4948-B951-9321A44B87D8}\1.0
  (Default) = flashcpx
• HKEY_CLASSES_ROOT\TypeLib\{DD1F03A0-0864-4948-B951-9321A44B87D8}\1.0\0\win32
  (Default) = %sysdir%\flashcpx.dll
• HKEY_CLASSES_ROOT\TypeLib\{DD1F03A0-0864-4948-B951-9321A44B87D8}\1.0\FLAGS
  (Default) = 0
• HKEY_CLASSES_ROOT\TypeLib\{DD1F03A0-0864-4948-B951-9321A44B87D8}\1.0\HELPDIR
  (Default) = %sysdir%
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EA3AF112-1E9A-4B79-8A2D-F6670A6BCA35}8A2D-F6670A6BCA35}
  (Default)

Método de Propagación 

Banbra.GMH llega al ordenador en un mensaje de correo electrónico en portugués en el que se adjuntan las fotos de una fiesta invitando a los usuarios a descargárselas.

El mensaje tiene las siguientes características:

• Asunto: puede ser uno de los siguientes, entre otros:
  ESSA FESTA FOI O MÁXIMO...
  OIII...!! TUDO BEM?
• Mensaje: puede ser uno de los siguientes:
  Mensaje 1
  Oi...!! tudo bem?
  Olha só as fotos que me mandaram.
  Lembra dessa festa?
  
  Tchauuu!!
  
  Mensaje 2
  Oiiii...!! tudo bem?
  Pois é eu sumi... mas eu não esqueci
  daquela nossa foto
  Pois aqui está a foto qye você tanto queria...
  Tchauuu!!!
  
• Adjunto: uno o varios archivos con extensión JPG, con los siguientes nombres:
  IMAGEM1.JPG
  IMAGEM2.JPG
  y además se visualizan las fotos en tamaño pequeño y aparecen los enlaces correspondientes para poder visualizarlas.

Si el usuario descarga los adjuntos o pulsa sobre los enlaces, se descarga un archivo comprimido. Si lo descomprime y ejecuta el archivo con extensión EXE llamado CONVITE.EXE, el ordenador quedará infectado con Banbra.GMH.

El archivo tiene la siguiente apariencia:

Las siguientes imágenes corresponden a ejemplos de mensajes en los que puede ser distribuido este troyano:

          

Otros Detalles  

Banbra.GMH está escrito en el lenguaje de programación Visual Basic v5. Este troyano tiene un tamaño de 115712 Bytes y está comprimido mediante UPX.