TrojanSpy.Win32.BANRAP.AS

Puede haberlo infiltrado otro malware.

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

Intenta robar la información que se utiliza para iniciar sesión en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contraseñas).

Detalles de entrada

Puede haberlo infiltrado el malware siguiente:

• Trojan.BAT.BANLOAD.THBAIAI

Instalación

Infiltra los archivos siguientes:

• %Public%\chrome.LNK ← execute the vbs scripts
• %Public%\Chrome\5.4.8\manifest.json
• %Public%\Chrome\5.4.8\eventPage.js
• %Public%\Chrome\5.4.8\6.js
• %Public%\Chrome\5.4.8\jquery-3.1.1.min.js ← normal file
• %Public%\Chrome\5.4.8\BJava_{6 random characters}{1 random number}_.js ← detected as Trojan.JS.BANKER.THBAIAI
• %Public%\Chrome\5.4.8\GJava_{6 random characters}{1 random number}__.js ← detected as Trojan.JS.BANKER.THBAIAI
• %Public%\Chrome\5.4.8\WJava_{6 random characters}{1 random number}_.js ← detected as Trojan.JS.BANKER.THBAIAI
• %Public%\Chrome\5.4.8\iconos\Java_{6 random characters}{1 random number}_.bmp
• %Public%\Java_{6 random characters}{1 random number}_\us ← Contains Machine name and Password
• %Public%\Java_{6 random characters}{1 random number}_.vbs ← Execute the batch file
• %Public%\Java_{6 random characters}{1 random number}_.bat ← Batch file that will add the Trojan.JS.BANKER.THBAIAI as chrome extensions.
• %AppDataLocal%\w ← Chrome Login Data.
• %Application Data%\Microsoft\.Out
• %Public%\Administrador\DP.zip ← detected as HKTL_RADMIN

Infiltra y ejecuta los archivos siguientes:

• %Application Data%\Microsoft\l.ps1 ← Obfuscated powershell that gathers email from files in the infected machine.
• %Public%\Administrador\install.bat ← batch file HKTL_RADMIN installation config
• %Public%\Administrador\RDPWInst.exe ← detected as HKTL_RADMIN

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Crea las carpetas siguientes:

• %Public%\Chrome\5.4.8
• %Public%\fx6\{5 random numbers}
• %Public%\Chrome\5.4.8\iconos
• %Public%\fx6\{5 random numbers}\iconos
• %Public%\Administrador

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• f_185761_G ← If currently login as Administrator in the machine
• A_242381_B

Otras modificaciones del sistema

Elimina los archivos siguientes:

• %User Startup%\*.vbs

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Terminal Server\WinStations\
RDP-Tcp
UserAuthentication = 0

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Terminal Server
fSingleSessionPerUser = 0

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Terminal Server
fDenyTSConnections = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender
DisableAntiSpyware = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\0
1407 = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
1407 = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\2
1407 = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1407 = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
1407 = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
dontdisplaylastusername = 0

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Terminal Server\WinStations\
RDP-Tcp
SecurityLayer = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorAdmin = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorUser = 0

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Lsa
LimitBlankPasswordUse = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\Terminal Services
Shadow = 0

Robo de información

Intenta robar información de los siguientes bancos y/u otros organismos financieros:

• Banco Bradesco
• Banco do Brasil
• Sicredi

Guarda las direcciones de correo electrónico que recopila en los siguientes archivos:

• %Application Data%\Microsoft\.Outlook

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Recopila los siguientes datos:

• Machine Name
• Machine Password
• Outlook Email addresses
• Chrome Login Data

Información sustraída

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• https://{BLOCKED}.{BLOCKED}.00.2
• https://{BLOCKED}.{BLOCKED}s.net/logsD/index.php?CHLG
• https://{BLOCKED}.{BLOCKED}s.net/al/index.php