Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Banbra.GUC realiza las siguientes acciones:
- Llega al ordenador en un archivo con el siguiente icono, haciéndose pasar por una foto o un vídeo, aunque en realidad es un archivo ejecutable:
- Cuando este archivo es ejecutado, se abre el navegador de Internet Explorer con la página original de YouTube y muestra un vídeo de un canal de noticias sobre el rescate de los mineros atrapados en una mina de Chile.
- Las siguientes imágenes corresponden al vídeo mostrado por el troyano:
- Sin embargo, todo esto no es más que una maniobra de distracción.
- En realidad se habrá instalado en el ordenador una copia de Banbra.GUC.
- Cuando se reinicia el ordenador, se ejecuta la copia del troyano guardada en el ordenador y se conecta a un servidor FTP desde el que descarga una serie de archivos ejecutables, que contienen páginas web que simulan la de diversos bancos brasileños y otros servicios web, como Hotmail y la red social Orkut.
- Una vez descargados, Banbra.GUC monitoriza el tráfico de red hasta que el usuario teclea en la barra de direcciones alguna de las páginas web afectadas.
- Cuando el usuario intenta acceder a alguna de esas páginas, el troyano cerrará el navegador y ejecutará el archivo ejecutable que imita a dicha página.
- Este archivo simula ser la ventana del navegador a la que el usuario quería acceder pero en la que no funcionarán ninguno de los enlaces y secciones, excepto las partes correspondientes a formularios.
- La siguiente imagen corresponde a la página falsa de uno de los bancos afectados, en el que sólo se podrá completar la información del cuadro rojo:
- El objetivo no es otro que robar información bancaria, contraseñas, direcciones de correo electrónico, etc.
- Una vez que el usuario haya introducido los campos correspondientes, la página web falsa se cerrará y se abrirá la original, para que el usuario no sospeche.
- Toda la información recogida se almacena en el ordenador en unos archivos, que son posteriormente enviados a través de correo electrónico a su creador.
Metodo de Infección
Banbra.GUC crea un archivo llamado ST45ST.EXE en el directorio de sistema de Windows. Este archivo es una copia del troyano.
Banbra.GUC descarga una serie de archivos desde un directorio FTP y que guarda en el directorio de sistema de Windows. Estos archivos simulan páginas de bancos o de otros servicios web y guardan claves:
- ADDE.EXE, simula páginas web de Banco do Brasil.
- FALL.EXE, simula páginas web de Banco Itáu.
- SELL.EXE, simula páginas de Bradesco.
- SUFF.EXE, simula páginas de Banco Santander de Brasil.
- SUGG.EXE, simula la página de inicio de Hotmail.
La siguiente imagen corresponde a los iconos de los archivos ejecutables descargados por Banbra.GUC:
Cada uno de estos archivos ejecutables crea un archivo en la carpeta inf del directorio de Windows en el que almacena los datos del usuario que ha obtenido.
Así, por ejemplo, el archivo SUGG.EXE crea el archivo de datos CDAF4H9O3.BSP con el siguiente contenido:
msn: trjanexample@hotmail.com, enterpasswordexample
Banbra.GUC crea la siguiente entrada en el Registro de Windows:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Office_app = %sysdir%\st45st.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entada, Banbra.GUC consigue ejecutarse cada vez que Windows se inicia.
Método de Propagación
Banbra.GUC es distribuido a través de correo electrónico en mensajes relacionados con la noticia sobre la tragedia de los mineros atrapados en un mina de Chile.
Otros Detalles
Banbra.GUC está escrito en el lenguaje de programación Visual Basic v5. Este troyano tiene un tamaño de 23040 Bytes y está comprimido mediante PECompact.
Investigación realizada por Aitor Crespo.