TSPY_BANCOS.AIV

Intenta robar la información que se utiliza para iniciar sesión en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contraseñas).

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\WindowsUpdate\
ServiceWinlogom

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
RunInvalidSignatures = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = 1

Modifica las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
CheckExeSignatures = no

(Note: The default value data of the said registry entry is yes.)

Rutina de infiltración

Infiltra los archivos siguientes:

• %System%\NOVAINFECCAO.log

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Robo de información

Controla la actividad de Internet Explorer (IE) del sistema afectado, en particular la barra de direcciones. Recrea un sitio Web legítimo con una página de inicio de sesión falsa cuando un usuario visita sitios de banca con las siguientes cadenas en la barra de direcciones y/o barra de título:

• BRB Banknet
• Banco Bradesco S.A.
• Banco Santander S.A.
• Banco do Brasil S.A.
• Banrisul
• Caixa Economica Federal S.A.
• HSBC BANK BRASIL S.A.
• HSBC InternetBanking
• Itau Bankline
• http://authmail.ibest.com.br/Autenticacao/autenticacao
• http://authmail.ig.com.br/Autenticacao/autenticacao
• http://webmail.globo.com/LoginWebmail/autenticarUsuario.ssp
• http://www.bancobva.com.br/areas/publico/pagp/default.asp
• http://www.bancofator.com.br/far/minhaconta.aspx
• http://www.bancopaulista.com.br/PaulistaHB/Default.asp
• http://www.bep.com.br/IBanking/principal.php?a=login
• http://www.besc.com.br
• http://www.besinvestimento.com.br/Default.aspx
• http://www.caixa.gov.br/#
• http://www.caixa.gov.br/_newredirect
• http://www.fininvest.com.br
• http://www.fininvest.com.br/hom/index.asp
• http://www.itauprivatebank.com.br/privatebank/index.htm
• http://www.mclass.com.br/scripts/mclass.dll/
• http://www.santander.com.br/
• http://www.spc.com.br/si/servlet/hlogin
• http://www2.paranabanco.com.br/Franquia/Franqueado.aspx
• https://bankline.itau.com.br/
• https://bankline.itau.com.br/GRIPNET/bklcom.dll
• https://bankline.itau.com.br/GRIPNET/gracgi.exe
• https://bankline.itau.com.br/lgnet/cartonista/bankline.htm
• https://bankline.itau.com.br/lgnet/itauf/bankline.htm
• https://banklineplus.itau.com.br/GRIPNET/bklcgi.exe
• https://banknet.brb.com.br/iBanking/
• https://bcadirecto.bca.cv/
• https://bcadirectoempresas.bca.cv/
• https://binanet.bi.cv/Login.asp
• https://binanetempresas.bi.cv/Login.asp
• https://br.credit-suisse.com/Default.aspx
• https://caixanetparticulares.caixa.cv/Login.asp
• https://carrinho.americanas.com.br/portal/acom.portal?_nfpb=true&
• https://carrinho.americanas.com.br/portal/acom.portal?_nfpb=true&portlet_payment_actionOverride=%2Fportlets%2Fpayment%2FchoosePaymentMethodAction&_windowLabel=portlet_payment
• https://carrinho.americanas.com.br/portal/meuCadastro.portal?_nfpb=true&LoginControllerPortlet_actionOverride=%2Fportlets%2Fcustomer%2Flogin%2FenderecoPesquisarPorCep&_windowLabel=LoginControllerPortlet
• https://carrinho.shoptime.com.br/portal/shoptime.portal?_nfpb=true&portlet_payment_actionOverride=%2Fportlets%2Fpayment%2FcreditCardValidateAction&_windowLabel=portlet_payment
• https://chaseonline.chase.com/online/AgentFCCServlet
• https://conexao.fininvest.com.br
• https://conexao.fininvest.com.br/index.asp
• https://consulta.equifax.com.br/menu.asp
• https://ibk.banparanet.com.br/ibban/htm/pj_acesso.htm
• https://ibpf.unibanco.com.br/unicard/
• https://internetbanking.caixa.gov.br/
• https://internetbanking.caixa.gov.br/SIIBC/siwinCtrl
• https://itaubankline.itau.com.br/
• https://itaubankline.itau.com.br/GRIPNET/bklcom.dll
• https://login.live.com/ppsecure/post.srf?
• https://nel.bnb.gov.br/
• https://netbanking.brp.com.br/NetBanking/c_brp.asp?acao=Logon
• https://netbanking2.banespa.com.br/
• https://portal.credicardciti.com.br/wps/ControllerBaseServlet
• https://segura.besc.com.br/cwsasp/cwsn.asp
• https://segura.besc.com.br/cwsasp/cwsn.asp/
• https://servicos.fininvest.com.br
• https://servicos.spc.org.br/pls/spc9765/spcindex.html
• https://servicos.spc.org.br/spc/controleacesso/autenticacao/passphrase.action
• https://sitenet.serasa.com.br/Logon/Logon
• https://smail-mia.terra.com.br/atmail.php?ret
• https://smail.terra.com.br/atmail.php?ret
• https://smu.jpmorgan.com/siteminderagent/forms/smu/gcp/login.fcc?
• https://wealth.goldman.com/login/login_b.cgi
• https://webid2.gs.com/cgi-bin/external/authenticate.cgi
• https://ww8.banrisul.com.br/brb/default.htm
• https://ww8.banrisul.com.br/brb/link/BrbwE0hw_MsgDialog.aspx
• https://www.bancogmac.com.br/homebank/logon.do
• https://www.bbmnetbanking.com.br/evhtml.cgi?FrmNumConta
• https://www.ccfacil.com.br/Login.asp?
• https://www.edivan.com.br/CtrlAcesso_geral.asp
• https://www.extra.com.br/Pagamento/infoComplementarFormaPagamento.aspx
• https://www.febraban.org.br/default.asp
• https://www.fs.ml.com/login/Login.asp?site=MLOL
• https://www.google.com/accounts/ServiceLoginAuth?service=
• https://www.indusval.com.br/tbib/ib_MICROSOFT.php
• https://www.intlmlol.ml.com/logon/logon.exe
• https://www.latinamerica.citibank.com/BRGCB/JSO/signon/ProcessUsernameSignon.do
• https://www.latinamerica.citibank.com/BRGCB/LATAM/common/AccountInfo.do
• https://www.latinamerica.citibank.com/BRGCB/jba/mp6/SubmitRecap.do
• https://www.magazineluiza.com.br/Seguro/caixa/ins_caixa.asp
• https://www.opportunity.com.br/Servicos/Login.aspx?
• https://www.paodeacucar.com.br/pagamento/processaFechamento.asp
• https://www.pontofrio.com.br/cgi-bin/loja_segura.pl
• https://www.prospertrade.com.br/acesso_cliente.asp
• https://www.santandernet.com.br/EfetuarLogin_Intermediaria_New.asp
• https://www.santandernet.com.br/IBPF/Home.asp
• https://www.santandernet.com.br/IBPF/LoginEscolhaUsuarios.asp
• https://www.santandernet.com.br/IBPF/transacoes/MPS/mps_WinXP.asp
• https://www.santandernet.com.br/IBPF/transacoes/MPS/mps_WinXpInf.asp
• https://www.santandernet.com.br/IBPF_Logout.asp
• https://www.santandernet.com.br/default.asp?txtAgencia=
• https://www.santandernet.com.br/logout.asp?oG=u&oA=site
• https://www.santandernet.com.br/paginas/CRM/Processa.asp
• https://www.tam.com.br/b2c/jsp/EfetuarPagamentoCCredito.jhtml
• https://www.tribancoonline.com.br/tribancoib/servlet/SvLogin
• https://www2.abcbrasil.com.br/ABCBanking/acesso/Login.aspx
• https://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH=sim
• https://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH=sim&perfil=1
• https://www2.bnpparibas.com.br/psso/WAgent.dll?Login0
• https://www2.extra.com.br/Usuario/Cadastro.aspx?userType=F&ReturnUrl=https://www2.extra.com.br/Pagamento/ListaEnderecos.aspx?Next=Pagamento.aspx
• https://www2.infoseg.gov.br/infoseg/do/TecladoVirtualAction
• https://www2.rural.com.br/RuralIBank/principal.jsp
• https://www2.rural.com.br/RuralIBank/validaLogin.jsp
• https://www2.rural.com.br/RuralIBank/validaSenha.jsp
• https://www2.submarino.com.br/Payment.aspx
• https://wwws.alfanet.com.br/Transacional/rdr_validacao.asp?
• https://wwws.bancoamazonia.com.br/prelogin.asp?
• https://wwws.banese.com.br/netbanking
• https://wwws.banese.com.br/netbanking/servlet
• https://wwws.banese.com.br/netbanking/servlet/Conf
• https://wwws.banese.com.br/netbanking/servlet/ConsDocEletronico
• https://wwws.banese.com.br/netbanking/servlet/ConsPagtoConv
• https://wwws.banese.com.br/netbanking/servlet/Login
• https://wwws.banestes.com.br/cgi-bin/Login
• https://wwws.gravames.com.br/gravames/
• https://wwws.nossacaixa.com.br/CarregarConta.asp
• https://wwws.nossacaixa.com.br/bemvindo.asp
• https://wwws2.hsbc.com.br/
• https://wwws3.hsbc.com.br/
• https://wwws3.hsbc.com.br/HOB-MEUHSBC/servlets/LoginMeuHSBC
• https://wwws3.hsbc.com.br/HOB-MEUHSBC/servlets/LoginMeuHSBC?CPF=
• https://wwws3.hsbc.com.br/HOB-MEUHSBCAPP/servlets/RedirectMeuHSBC?fin=0&trans=MHERF01&ServletState=50&LinkExecucao=/HOB-CCORRENTE
• https://wwws3.hsbc.com.br/HOB-MEUHSBCAPP/servlets/ServletMeuHSBC?ServletState=0
• https://wwws3.hsbc.com.br/HOB-MEUHSBCAUX/servlets/LogoutMeuHSBC?urlRedirect=/HOB/logincrm/meuhsbc/logout.html?
• https://wwws5.hsbc.com.br/
• https://wwwss.bradesco.com.br/scripts/ib2k1.dll/LOGIN
• https://wwwss.bradesco.com.br/scripts/ib2k1.dll/TAC/ENTRADASENHA?CTL
• https://wwwss.bradesco.com.br/scripts/ib2k1.dll/TAC/VRFSENHAATUAL

El inicio de sesión falso coincide con la zona de inicio de sesión auténtica del sitio Web, cosa que hace creer al usuario que se trata de parte de la ventana de IE. La página de inicio de sesión falsa está situada en una zona fija del sitio Web auténtico. La mencionada rutina engaña al usuario para que revele información confidencial sobre su cuenta. A continuación registra las pulsaciones que introduce el usuario en los campos de nombre de usuario y contraseña de la página de inicio de sesión falsa.

Intenta robar información de los siguientes bancos y/u otros organismos financieros:

• Alfa Net
• BCA Directo
• BES Investimento
• BESC
• BNP Paribas
• BRB Banknet
• Banco ABC Brasil
• Banco BBM
• Banco BVA
• Banco Bradesco
• Banco Fator
• Banco GMAC
• Banco Indusval
• Banco Interatlântico
• Banco Itau
• Banco Paulista
• Banco Rural
• Banco Santander
• Banco da Amazônia
• Banco do Brasil
• Banese
• Banespa
• Banestes
• Banparanet
• Banrisul
• Caixa
• Caixa Economica Federal
• Chase
• Citibank
• Credicard Citi
• Credit Suisse
• EDIVAN
• Equifax
• Federação Brasileira de Bancos
• Fininvest
• Goldman
• HSBC
• INFOSEG
• JP Morgan
• Magazine Luiza
• Nossa Caixa
• PontoFrio
• Prosperatrade
• Pão de Açúcar
• Serasa
• Tribanco
• Unibanco

Puntos de infiltración

Envía la información que recopila a las siguientes direcciones de correo electrónico:

• agnaldo224@terra.com.br
• alessandre.mello@uol.com.br
• amabejo@terra.com.br
• c.cardum@terra.com.br
• ccbsa@terra.com.br
• celiamariaolive@terra.com.br
• chiquitafeira@terra.com.br
• cintiaped@terra.com.br
• cisel.diego@terra.com.br
• claudiacurzel@terra.com.br
• claudio.bwilson@terra.com.br
• cls.petfood@terra.com.br
• cpteam2010@hotmail.com
• cpteam2010@uol.com.br
• ddjferreira@terra.com.br
• dinho.fortaleza@h.com
• dsavante@terra.com.br
• eliasfae@terra.com.br
• elivaldo@utranet.com.br
• engelet@terra.com.br
• extingfogo@terra.com.br
• fisiopremium@terra.com.br
• francyella@terra.com.br
• frms1@terra.com.br
• gcontrps@terra.com.br
• gruporenatoduarte@terra.com.br
• jeanmary@terra.com.br
• jluizg@uol.com.br
• joana-frias@uol.com.br
• jsserralheria@terra.com.br
• julianaxavier.tj@terra.com.br
• juniorcdb@gmx.com
• likaua@terra.com.br
• lojadaborracha.mt@terra.com.br
• lucineimartins@terra.com.br
• luizinhosap@terra.com.br
• maria.koury@terra.com.br
• marleneg.santos@terra.com.br
• maselliveiculos@terra.com.br
• maucine@terra.com.br
• mcvjuridico@terra.com.br
• mmargaretefaria@terra.com.br
• mrcatana@terra.com.br
• msyankous@terra.com.br
• nobresmetal@terra.com.br
• osvaldo2232@terra.com.br
• patisimi@terra.com.br
• pecaslinheira@terra.com.br
• petroba039@terra.com.br
• qualibh@terra.com.br
• rinsfran@terra.com.br
• rodo8@terra.com.br
• ruthmaciels@terra.com.br
• sbcpb@terra.com.br
• sergio.ssantos@terra.com.br
• supermercadobig@terra.com.br
• theof@terra.com.br
• vrcadv@terra.com.br
• vultex@terra.com.br
• wilson.piu@terra.com.br

Información de variantes

Tiene los siguientes valores hash MD5:

• 7e712344ed96480d833731432eeebe2a
• 10177301290e3a274c9df3120b5b524f

Tiene los siguientes valores hash SHA1:

• 61023d754ed5fdd63789fb9c659c570229210301
• c3ea9919a8b1da50483395925f49e4f203f8ebf6