Troyano Made in Brazil

Estas últimas semanas veníamos con la mosca detrás de la oreja, buscando algún espécimen de una nueva familia de troyanos la cual se nos estaba escapando, empezábamos a ver alguna que otra infección y claro estaba, sin la muestra no había manera alguna de saber quien, como y que estaban haciendo en las maquinas infectadas.

Así se cuece un troyano bancario Win32/Spy.Agent.CNX “Made in Brazil”

Suele venir en links falsos a tarjetas de felicitación, drivers, codecs de audio y video etc En el caso de la novia de un amigo, llegó por email, el asunto del cual decia que era una tarjeta de felicitación de un amigo.

Por desgracia o “desconocimiento “ se acepto el archivo html adjunto al correo que la llevo hasta la web de los creadores del troyano.

Como vemos en la imagen la postal en cuestión nos invita a descargar un plug-in de Flash, ya que sin el no podremos ver tan bonita postal. Gran error, al descagar el supuesto plug-in lo único que hacemos es descargarnos el troyano y con toda la confianza del mundo ejecutarlo, como no.

Cuando se ejecuta cltmon.exe, aparece una ventana de error con el mensaje «CRC error», en un intento de hacer creer al usuario de que el ejecutable no se ha podido ejecutar correctamente por algún tipo de error. Buen engaño.

La realidad es que el troyano se ha ejecutado correctamente y comienza su proceso de instalación, todo en segundo plano. En primer lugar crea tres ficheros en la carpeta de sistema de Windows, por defecto:

C:\WINDOWS\system32\cltmon.exe
C:\WINDOWS\system32\onfy_.dll
C:\WINDOWS\system32\otxt16.cfg

También crea los siguientes directorios:

C:\WINDOWS\system32\smdata32
C:\WINDOWS\system32\smdata32\fxddsk
C:\WINDOWS\system32\smdata32\remdsk

Incluye la típica entrada en el registro de Windows para asegurarse su ejecución en cada inicio de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run «cltmon» = «C:\WINDOWS\system32\cltmon.exe»

El análisis de dicho ejecutable revela que ha sido desarrollado en Visual C++ 6.0, y se observa en él funciones de keylogger genérico. Sin embargo este troyano esconde un objetivo más concreto, que se activa al descargar desde un servidor web un archivo txt aparentemente sin ningún sentido.

Este archivo de texto es en realidad un archivo de configuración cifrado que el troyano descifra e interpreta, y le indica que direcciones webs (URL) debe monitorizar en Internet Explorer para, en caso de coincidir, redirigir al usuario a un sitio web de phishing.

En concreto esta muestra redirige a los usuarios de banca electrónica de La Caixa a un sitio web de phishing donde, además del número de identificación y pin de acceso solicita en una segunda pantalla que se introduzcan todas las claves de la tarjeta de coordenadas.

Hay que indicar que el troyano mantiene un control total sobre Internet Explorer, de forma que aunque el usuario esté visitando los contenidos del sitio de phishing hospedado en otro servidor, en la barra de direcciones de Internet Explorer continuará apareciendo la URL legítima de la entidad bancaria.

Los datos robados son enviados a los atacantes, que a partir de ese momento pueden suplantar la identidad de la víctima en la banca electrónica y realizar operaciones y transferencias en su nombre.

ESET NOD32 detecta este troyano con el nombre de Win32/Spy.Agent.CNX

Para eliminar el troyano de un equipo infectado, deberemos:

1. Desactivar la restauración automática en Windows XP/ME.
2. Reiniciar en Modo a prueba de fallos.
3. Eliminar los archivos:

C:\windows\system32\cltmon.exe
C:\windows\system32\onfy_.dll
C:\windows\system32\otxt16.cfg

4. Eliminar la carpeta (incluyendo subcarpetas y contenido): C:\WINDOWS\system32\smdata32
5. Desde Inicio, Ejecutar, escribir REGEDIT y pulsar Enter para acceder al Registro del sistema.
6. Eliminar bajo la columna «Nombre» la entrada «Windows32» según la siguiente clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run cltmon = C:\WINDOWS \system32\cltmon.exe
7. Cerramos el editor del Registro del sistema.
8. Reiniciar el equipo y ejecutar un antivirus actualizado para eliminar cualquier otra forma de malware existente en el sistema.

R.R

Nueva vulnerabilidad en Adobe Flash Player