Active Scan. Analiza Gratis tu PC
Panda Premium Assistance

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Banbra.GUC

PeligrosidadPeligrosidad mediaDañoDañinoPropagaciónPoco extendido

Efectos 

Banbra.GUC realiza las siguientes acciones:

  • Llega al ordenador en un archivo con el siguiente icono, haciéndose pasar por una foto o un vídeo, aunque en realidad es un archivo ejecutable:

    Icono de Banbra.GUC
  • Cuando este archivo es ejecutado, se abre el navegador de Internet Explorer con la página original de YouTube y muestra un vídeo de un canal de noticias sobre el rescate de los mineros atrapados en una mina de Chile.
  • Las siguientes imágenes corresponden al vídeo mostrado por el troyano:

    Imágenes del vídeo de YouTube mostrado por Banbra.GUC
  • Sin embargo, todo esto no es más que una maniobra de distracción.
  • En realidad se habrá instalado en el ordenador una copia de Banbra.GUC.
  • Cuando se reinicia el ordenador, se ejecuta la copia del troyano guardada en el ordenador y se conecta a un servidor FTP desde el que descarga una serie de archivos ejecutables, que contienen páginas web que simulan la de diversos bancos brasileños y otros servicios web, como Hotmail y la red social Orkut.
  • Una vez descargados, Banbra.GUC monitoriza el tráfico de red hasta que el usuario teclea en la barra de direcciones alguna de las páginas web afectadas.
  • Cuando el usuario intenta acceder a alguna de esas páginas, el troyano cerrará el navegador y ejecutará el archivo ejecutable que imita a dicha página.
  • Este archivo simula ser la ventana del navegador a la que el usuario quería acceder pero en la que no funcionarán ninguno de los enlaces y secciones, excepto las partes correspondientes a formularios.
  • La siguiente imagen corresponde a la página falsa de uno de los bancos afectados, en el que sólo se podrá completar la información del cuadro rojo:

    Imagen de la página web de banco falsa
  • El objetivo no es otro que robar información bancaria, contraseñas, direcciones de correo electrónico, etc.
  • Una vez que el usuario haya introducido los campos correspondientes, la página web falsa se cerrará y se abrirá la original, para que el usuario no sospeche.
  • Toda la información recogida se almacena en el ordenador en unos archivos, que son posteriormente enviados a través de correo electrónico a su creador.

Metodo de Infección 

Banbra.GUC crea un archivo llamado ST45ST.EXE en el directorio de sistema de Windows. Este archivo es una copia del troyano.

 

Banbra.GUC descarga una serie de archivos desde un directorio FTP y que guarda en el directorio de sistema de Windows. Estos archivos simulan páginas de bancos o de otros servicios web y guardan claves:

  • ADDE.EXE, simula páginas web de Banco do Brasil.
  • FALL.EXE, simula páginas web de Banco Itáu.
  • SELL.EXE, simula páginas de Bradesco.
  • SUFF.EXE, simula páginas de Banco Santander de Brasil.
  • SUGG.EXE, simula la página de inicio de Hotmail.

 

La siguiente imagen corresponde a los iconos de los archivos ejecutables descargados por Banbra.GUC:

Iconos de los archivos ejecutables

 

Cada uno de estos archivos ejecutables crea un archivo en la carpeta inf del directorio de Windows en el que almacena los datos del usuario que ha obtenido.

Así, por ejemplo, el archivo SUGG.EXE crea el archivo de datos CDAF4H9O3.BSP con el siguiente contenido:
msn: trjanexample@hotmail.com, enterpasswordexample

 

Banbra.GUC crea la siguiente entrada en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Office_app = %sysdir%\st45st.exe

    donde %sysdir% es el directorio de sistema de Windows.
    Mediante esta entada, Banbra.GUC consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación 

Banbra.GUC es distribuido a través de correo electrónico en mensajes relacionados con la noticia sobre la tragedia de los mineros atrapados en un mina de Chile.

Otros Detalles  

Banbra.GUC está escrito en el lenguaje de programación Visual Basic v5. Este troyano tiene un tamaño de 23040 Bytes y está comprimido mediante PECompact.

 

Investigación realizada por Aitor Crespo.

Soporte técnico

Accesos rápidos

Panda Quick Start

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Panda Desinfección Remota

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info

Panda Optimización Remota

Panda Optimización Remota

Nuestros técnicos revisan tu PC y lo dejan funcionando en óptimas condiciones, como el primer día.
[+] info