Troyano para bancos latinoamericanos

En el día de la fecha hemos detectado un troyano que tiene el objetivo de modificar el archivo hosts del sistema y que está orientado a diversos bancos de Latinoamérica (y más específicamente, Perú).

El troyano creado en el continente y en cuyo código fuente pueden apreciarse comentarios en español, es propagado a través del mensajero MSN de Microsoft a través del siguiente mensaje (errores incluidos):

quiero enviarle una postal a mi amor sera que esta esta bonita? que dices tu?
http://gusanito-videpostal.[ELIMINADO].net/inside/

Posteriormente, si el usuario comete el error de hacer clic, se descarga un archivo ejecutable desde el sitio de alojamiento gratuito Box.net. Lo recomendable es no hacer clic sobre el enlace ofrecido en el mensajero y, en todo caso, explorar cada archivo descargado con ESET NOD32 como se explica en configurando ESET NOD32 en MSN I y II.

El archivo ejecutable, detectado por ESET NOD32 como Win32/Qhost.NGQ, descarga un archivo hosts ya modificado desde un sitio web que ha sido vulnerado y donde se ha alojando un archivo PHP con el siguiente contenido:

Luego de esta modificación, el sistema afectado ingresará a la dirección IP especificada cada vez que el usuario solicite cualquiera de las URL de los bancos que aparecen en el listado.

Si desea conocer más detalles del funcionamiento del malware del tipo descripto recomiendo la lectura del artículo sobre pharming local y ver nuestro Video Educativo sobre este tema.

Cristian

Autor , ESET

  • Huy gracias por el aviso…

  • Queridos chicos de Eset, les quiero agradecer por lo enviado, pues a mi ese archivo HOST de troyano tambien me ha entrado a mi sistema operativo, pero no solo por el e-mail que llega con codigo de error, sino que tambien por varios de los nuevos softwares que trabajan en el hardware de Windows para mi empresa Mocedades S.A y tambien se encuentan activos en las descargas de ARES. Les pido que mas allá de la información puedan descartar este problema que se esta desatando. Este Virus No solo ataca a los bancos sino tambien a las empresas internacionale como Mocedades S.A Solo Nod32 de los casi 30 Anti Virus soliicitados en el sistema han podido detectarlo.
    Desde Ya muchisimas gracias. Equipo mocedades S.A 2008

  • marco

    Pues la verdad esta bien interesante esto
    Especialmente aqui en peru es necesario que se sepa para que no se tenga problemas respecto a este virus que hace mal a todos.

  • Pingback: ESET Informa: SlideShare es aprovechado para propagar malware | e-Volution Beta()

  • angel

    ufff este antivirus me salvo de una buena paliza de mi mama :D descarge ares i bajo el troyano luego averiguando en el inter entre a poder descargar el eset nod32 les agradezco eee.!

  • Pingback: Slideshare es aprovechado para propagar malware | Ciberespacio()

Síguenos