Un nuevo y relativamente rara programa troyano Zeus ha encontrado que es totalmente diferente de otros troyanos bancarios y tiene capacidad para robar secretamente datos de formularios, credenciales de acceso y archivos de la víctima, así como puede crear páginas web falsas y tomar capturas de pantalla de la computadora de la víctima.
Los investigadores en el equipo de Fraude de RSA Security han descubierto este nuevo y crítico amenaza, apodado como 'Pandemiya', que se está ofreciendo a los criminales cibernéticos en foros underground, como alternativa a la infame troyano Zeus y sus muchas variantes, que es ampliamente utilizado por la mayoría de los ciberdelincuentes por años para robar información bancaria de los consumidores y las empresas.
El código fuente del troyano bancario Zeus está disponible en los foros underground de los últimos años, que conducen a los desarrolladores de malware para diseñar variantes más sofisticadas de troyano Zeus, como Ciudadela, Hielo IX y Gameover Zeus.
Pero, Pandemiya es algo con mucho, la pieza de malware más aisladas y peligrosas como el autor pasó un año en escribir el código para Pandemiya, que incluye 25.000 líneas de código original escrito en C.
Al igual que otros de Troya comercial, Pandemiya infectar las máquinas a través de paquetes de exploits ya través de ataques drive-by download para impulsar la tasa de infección que explotan fallas en el software vulnerable, tales como Java, Silverlight y Flash dentro de unos segundos tierras a las víctimas de la página web.
"Calidad de codificación de Pandemiya es bastante interesante, y contrariamente a las tendencias recientes en el desarrollo de malware, no se basa en el código fuente de Zeus en absoluto, a diferencia de Ciudadela / Ice IX, etc," los investigadores de RSA, la división de seguridad de EMC, dijo el martes en una entrada de blog. "A través de nuestra investigación, nos enteramos de que el autor de Pandemiya pasó cerca de un año de la codificación de la aplicación, y que consta de más de 25.000 líneas de código original en C."
Pandemiya troyano utiliza Windows API CreateProcess para inyectar a sí mismo en cada nuevo proceso que se inició, incluyendo Explorer.exe y re-inyecta cuando sea necesario. Pandemiya se vende por hasta $ 2,000 USD y proporciona todas las características desagradables incluyendo la comunicación encriptada con los servidores de comando y control, en un esfuerzo para evitar la detección.
El troyano ha sido diseñado con una arquitectura modular para cargar los plug-ins más externas, que permite a los hackers añadir características extra simplemente escribiendo nueva DLL (biblioteca de vínculos dinámicos). Los plug-ins adicionales añadir fácilmente capacidades de funcionalidad principal del troyano, es por eso que el desarrollador cobra un extra de $ 500 USD para conseguir la aplicación principal, así como sus plugins, que permite a los ciberdelincuentes para abrir proxies inversos en los ordenadores infectados, para robar credenciales FTP y para infectar los archivos ejecutables con el fin de inyectar el malware en el arranque.
"La llegada de una nueva aplicación de malware troyano recién codificado no es muy común en el metro," Marcus escribe, y agrega que el enfoque modular en Pandemiya podría hacer "más penetrante en el futuro cercano."
Los desarrolladores de malware también están trabajando en otras nuevas características para agregar conexiones de Protocolo de escritorio remoto inversa y un módulo de ataque de Facebook con el fin de difundir el troyano a través de Facebook secuestrados.
COMO QUITAR PANDEMIYA TROJAN
El troyano se puede quitar fácilmente con una pequeña modificación en la acción de línea del registro y del sistema, tal como se explica a continuación:
Busque la clave del Registro HKEY_LOCAL_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run e identificar los archivos *. EXE nombre de archivo en la carpeta de su usuario Datos de programa '. Anote el nombre y eliminar el valor del Registro.
Busque la clave HKEY_LOCAL_MACHINE \ System registro \ CurrentControlSet \ Control \ Session Manager \ AppCertDlls. Encuentre el valor con el mismo nombre que el archivo EXE *. En el paso anterior. Tenga en cuenta el nombre del archivo y eliminar el valor del Registro.
Reinicie el sistema. En esta etapa Pandemiya está instalado pero ya no se ejecuta. Eliminar tanto archivos señalados anteriormente. Esto eliminará los últimos rastros del troyano. Su sistema está ahora limpio.
Mantenerse a salvo!
Fuente:
The hacker news
