Propagación de malware vía correos legítimos (III)

Luego de la repercusión de I y II y, ante la duda expresada por correo de algunos usuarios, paso a aclarar algunos puntos fundamentales de esta amenaza:

  1. Que el correo sea enviado por usuarios legítimos significa que los correos proceden de cuentas de Hotmail, Yahoo! o GMail de cualquier usuario (como las suyas o las mías) y que los correos no son simulados sino que realmente provienen de esas cuentas debido a que el delincuente tiene el usuario y la clave de las mismas. Por eso, cambiar la clave del correo es la solución en este caso.
  2. Si Ud. ingresó sus datos en sitios dudosos o sospecha que su usuario y contraseña pueden haber sido robados, cambie la contraseña de su correo inmediatamente.
  3. La cantidad de infecciones sigue creciendo llegando en este momento a 30.000 descargas del malware en menos de 48 hs. Esto puede deberse a que actualmente muy pocos antivirus detectan la amenaza y que además existen más cuentas robadas continuamente, lo que ayuda a alimentar este círculo vicioso.
  4. Luego de instalarse, el gusano detectado por ESET NOD32 como Banwor roba sistemáticamente usuarios y contraseñas de correos y cuentas bancarias y actualmente existen tres variantes del mismo, que están siendo utilizados en este ataque. Los archivos .dll y .exe residen en la siguiente carpeta:

    Plugin

    Estos archivos corresponden a:

    • gbppdist.dll -> Win32/Banwor.NBG
    • gbiehdst.dll y gbppsv.exe -> Win32/Banwor.NBI
    • gbplib.dll -> Win32/Banwor.NBF
  5. La modificación llevada a cabo en el sistema puede verse claramente mediante ESET SysInspector en donde diversos archivos del sistema son inyectados por el gusano para mantener el control del mismo:

    Inyeccion

Nuevamente, cuide sus datos personales, cambie su contraseña, verifique su sistema con un antivirus con capacidades proactivas y revise las carpetas de su sistema en busca de archivos sospechosos.

Actualización 18:00 Hs: Los archivos mencionados anteriormente corresponden a “Plugins” del malware, los cuales roban datos de cuentas diferentes bancos de Brasil, país de cual proviene Banwor.

Actualización 19/07/2008 21:00 Hs: A continuación dejo una imagen del archivo grabado por el gusano Banwor y su contenido con información robada, al ingresar a un banco de Brasil:

Datos robados

Los bancos afectados pueden cambiar dependiendo de la versión de Banwor que se trate.

Cristian

Autor , ESET

Síguenos