Enviar esta página Imprimir esta página Recogemos tu opinión
Panda Security » Antivirus Software » Security Information » Enciclopedia » Detalles técnicos, efectos, peligrosidad ...

Enciclopedia

Burglar.A

 
PeligrosidadPeligrosidad bajaDañoDañinoPropagaciónPoco extendido

Efectos 

Burglar.A realiza las siguientes acciones:

  • Obtiene la siguiente información del ordenador:
    - dirección IP.
    - nombre de la máquina.
    - área geográfica: región, estado o provincia; ciudad; latitud y longitud aproximada. Para obtener todos estos datos, Burglar.A utiliza Google Maps.
    La siguiente imagen es un ejemplo de la información que obtiene a través de Google Maps:

  • Descarga el siguiente malware en el ordenador afectado:
    -Trj/Sters.P, que impide que tanto el usuario como los programas instalados accedan a los siguientes sitios web relacionados con compañías antivirus:
    82.165.237.14
    82.165.250.33
    avp.com
    ca.com
    casablanca.cz
    customer.symantec.com
    d66.myleftnut.info
    d-eu-1f.kaspersky-labs.com
    d-eu-1h.kaspersky-labs.com
    d-eu-2f.kaspersky-labs.com
    d-eu-2h.kaspersky-labs.com
    dispatch.mcafee.com
    download.mcafee.com
    downloads1.kaspersky.com
    downloads1.kaspersky.ru
    downloads2.kaspersky.ru
    downloads3.kaspersky.ru
    downloads4.kaspersky.ru
    downloads5.kaspersky.ru
    downloads-us1.kaspersky.com
    d-ru-1f.kaspersky-labs.com
    d-ru-1h.kaspersky-labs.com
    d-ru-2f.kaspersky-labs.com
    d-ru-2h.kaspersky-labs.com
    d-us-1f.kaspersky-labs.com
    d-us-1h.kaspersky-labs.com
    eset.casablanca.cz
    eset.com
    f-secure.com
    kaspersky.com
    kaspersky-labs.com
    liveupdate.symantec.com
    liveupdate.symantecliveupdate.com
    mast.mcafee.com
    mcafee.com
    mcafee.com
    metalhead2005.info
    my-etrust.com
    nai.com
    networkassociates.com
    nod32.com
    norton.com
    rads.mcafee.com
    secure.nai.com
    securityresponse.symantec.com
    sophos.com
    symantec.com
    trendmicro.com
    u2.eset.com
    u3.eset.com
    u4.eset.com
    u7.eset.com
    update.symantec.com
    updates.symantec.com
    updates1.kaspersky.com
    updates2.kaspersky.com
    updates3.kaspersky.com
    updates-us1.kaspersky.com
    us.mcafee.com
    viruslist.com
    viruslist.com
    www.avp.com
    www.ca.com
    www.eset.com
    www.f-secure.com
    www.kaspersky.com
    www.mcafee.com
    www.microsoft.com
    www.my-etrust.com
    www.nai.com
    www.networkassociates.com
    www.nod32.com
    www.norton.com
    www.sophos.com
    www.symantec.com
    www.trendmicro.com
    www.viruslist.com

    -Trj/Keylog.LN, que captura las pulsaciones de teclado introducidas por el usuario. De esta manera, puede obtener información confidencial del usuario, como contraseñas.

    - Trj/FileStealer.A, que descarga y ejecuta un servidor web en el ordenador. De este modo, consigue acceso remoto al sistema afectado.

    -Trj/Banker.CLJ. Este troyano roba contraseñas bancarias. Para ello, monitoriza si el usuario accede a alguna página web relacionada con entidades bancarias. Si es así, manda la orden Stop Navegate al navegador para detener la carga de la página, y muestra dos mensajes de alerta en los que se solicitan datos confidenciales al usuario, que después son enviados a su creador.
  • Se conecta a la página web http://extec<bloqueado>.com/stats, en la que almacena información sobre los países y direcciones IP infectadas.

Metodo de Infección 

Burglar.A crea los siguientes archivos en el directorio de Windows:

  • DSRSS.EXE, que corresponde a Trj/Keylog.LN.
  • IESERVER.EXE, que corresponde a Trj/FileStealer.A.
  • SMSS.EXE y WINLOGON.EXE, que corresponden a Trj/Sters.P.
  • IEREDIR.EXE y PREREDIR.EXE, que corresponden a Trj/Banker.CLJ.

 

Burglar.A modifica el archivo HOSTS. Mediante esta modificación, Burglar.A evita que el usuario pueda acceder a diversos sitios web, que proporcionan actualizaciones para diversos programas antivirus.

Método de Propagación 

Burglar.A suele ser distribuido a través del correo electrónico en un mensaje con las siguientes características:

Asunto: uno de los siguientes:
Current Australia’s Prime Minister survived a hear attack
Prime Minister survived a heard attack
The life of the Prime Minister is in grave danger

Contenido:
SYDNEY, February 18, 2007 08:56pm (AEDT) –
The Prime Minister of Australia, John Howard have survived a heart attack. Mr Howard, 67 years old, was at Kirribilli House in Sydney, his prime residence,when he was suddenly stricken.
Mr Howard was taken to the Royal North Shore Hospital where the best surgeons of Australia are struggling for his life.
Click on the link below to get the latest information on the health
of the Prime Minister:
The Australian - keeping the nation informed
John Howard was born on the 26th of July, 1939. Howard is Australia's
second longest serving Prime Minister and leader of the Liberal Party
in Australia.

Este mensaje puede contener:

  • un enlace a una página web, que si es pulsado, llevará a una de las siguientes páginas web:
    http://www.au<bloqueado>ews.com/
    http://www.theau<bloqueado>ews.com/
    http://www.thea<bloqueado>ews.org/
    que a su vez son redireccionadas a la página web www.ext<bloqueado>b.com, que es la página a partir de la cual comienza la infección.
  • un archivo ejecutable adjunto que si es ejecutado, el ordenador quedará afectado por Burglar.A.

Otros Detalles  

Burglar.A está escrito en los lenguajes de programación Visual Basic y JavaScript. Este troyano tiene un tamaño de 2011 Bytes.

Información actualizada:  12/03/2007 

Virus News

24/3/09.-El troyano Nabload.DLU se oculta tras un divertido video para robar las claves bancarias

10/3/09.-1 de cada 100 usuarios mundiales estuvo expuesto al robo de identidad en 2008

2/3/09.-El número de infecciones del adware VideoPlay creció un 400% en febrero debido al uso malicioso de páginas de la web 2.0

[+ Noticias]