Información
bancaria robada a través del troyano win32.Montp
Por: Karina Saavedra
O.
Nombre: TrojanSpy.Win32.Montp.f,
Montp.F
Resumen:
Montp es un
troyano para espiar que fue descubierto por primera vez en Abril
del 2004. La ultima variable se encontró el 6-7 de junio
del 2004 Este troyano tiene poderosas características de
espionaje: ya que obtiene toda la información de los usuarios
de numerosas instituciones bancarias que están en línea
y envía todos los datos a un hacker a través de
un servidor ftp. El troyano también puede descargar y correr
archivos adicionales de servidores ftp y http. Adicionalmente
el troyano utiliza técnicas stealth.
Este troyano es capaz de desactivar una serie de programas que
se encuentren en memoria, por supuesto busca desactivar antivirus
que puedan cargarse en la máquina.
Descripción
detallada:
El archivo principal del troyano es un ejecutable PE de 44032
bytes empacados con un compresor de archivos PeCompact. El troyano
deja un archivo DLL el cual tiene 241,664 bytes y no se encuentra
empacado.
Instalación
en el sistema:
Cuando el ejecutable del troyano corre, se instala en el sistema.
Copia su archivo a una carpeta dentro de Windows System en \qmin\
con un nombre aleatorio, por ejemplo 'adpgcjca.exe'. El troyano
deja un archivo DLL llamado 'qmin2.dll' a la carpeta de Sistema
de Windows y lo activa. Este DLL es usado para colgarse de algunos
APIs para interceptor requerimientos HTTPS para esconder archivos
del troyano y llamadas del registro.
También se crea un archivo 'xtempx.xxx' en la carpeta de
sistema de Windows.
La llave de inicio que se crea para el ejecutable del troyano
es:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"qmin" = "%WinSysDir"\qmin\<random>.exe"
Adicionalmente el
troyano crea las siguientes llaves del registro:
[HKCU\Software\Microsoft\Windows\CurrentVersion]
"qmin"
[HKCU\Software\Microsoft\Windows\]
"qmax"
La última
llave se configure al inicio del proceso de robo de datos y posteriormente
se borra.
Robo de datos
de bancos en línea y otra información:
El componente DLL verifica si un usuario abre alguno de los siguientes
URLs usando protocolo HTTPS (los nombres de los bancos son remplazados
con <bank_name>):
<bank1_name>.co.uk
<bank2_name>.co.uk
<bank3_name>.com
<bank4_name>.tv
<bank5_name>.com
<bank6_name>.com
<bank7name>.com.au
<bank8_name>.com.au
<bank9_name>.com
<bank10_name>.co.uk
<bank11_name>.co.uk
<bank12_name>.com
<bank13_name>.co.uk
<bank14_name>.co.uk
<bank15_name>.co.uk
<bank16_name>.com
<bank17_name>.com.au
<bank18_name>.com
<bank19_name>.com
<bank20_name>.co.nz
<bank21_name>.com
<bank22_name>.com
<bank23_name>.com
<bank24_name>.se
<bank25_name>.com.vn
<bank26_name>.com
<bank27_name>.com
<bank28_name>.com
<bank29_name>.de
<bank30_name>.com
<bank31_name>
<bank32_name>.com
<bank33_name>.com
<bank34_name>.com.hk
<bank35_name>.com
<bank36_name>.com
<bank37_name>.com
<bank38_name>.com
<bank39_name>.com.au
<bank40_name>.com
<bank41_name>.de
<bank42_name>.com.my
<bank43_name>.com.my
<bank44_name>.de
<bank45_name>.com.au
<bank46_name>.com
<bank47_name>.net.au
<bank48_name>.com
<bank49_name>.com
<bank50_name>
<bank51_name>.com
<bank52_name>.com
<bank53_name>.com
<bank54_name>.com
<bank55_name>.com
<bank56_name>.com
<bank57_name>.com.au
<bank58_name>.com
<bank59_name>.de
<bank60_name>.de
<bank61_name>.com.hk
<bank62_name>.com
<bank63_name>.com
<bank64_name>.com
<bank65_name>.com
<bank66_name>.com.au
<bank67_name>.com
<bank68_name>.co.nz
<bank69_name>.co.nz
<bank70_name>.com
<bank71_name>.com.au
<bank72_name>.com.au
<bank73_name>.com
<bank74_name>.com
Si un usuario abre alguno de estos URLs (los cuales en
la mayoría pertenecen a bancos en línea), el DLL
del troyano crea un archivo con el nombre correspondiente.
De cualquier manera, para diferentes URLs el troyano crea un archivo
con un nombre común. Los siguientes archivos son creados
por el troyano:
<bank1_name>_co_uk.pst
<bank2_name>_co_uk.pst
<bank3_name>_com.pst
<bank4_name>.pst
<bank5_name>_com.pst
<bank6_name>.pst
<bank7_name>_com_au.pst
<bank8_name>_com_au.pst
<bank9_name>_com.pst
<bank10_name>_CO_UK.pst
<bank11_name>_CO_UK.pst
<bank12_name>_COM.pst
<bank13_name>_CO_UK.pst
<bank14_name>_co_uk.pst
<bank15_name>_co_uk.pst
instant1f.pst (usado por diferentes URLs)
También el DLL del troyano verifica por URLs que contengan
alguna de estas cadenas:
zwallet.com
.cl
.ru
.ua
.o2.co.uk
ytv.com
yourastrologysite.com
.edu
yes.com.hk
yagma.com
mail
serviticket.com
sierraclub.org
wrem.sis.yorku.ca
worth1000.com
worldwinner.com
delawarenorth.com
.bg
uwaterloo.ca
t-mobile.com
.ac.uk
willhill.com
bigpond.net.au
intel.com
webzdarma.cz
nwa.com
sap-ag.de
guidehome.com
microsoft.com
.il
.ust.hk
.fi
.ac.nz
.sk
.ac.at
unb.ca
ubc.ca
sheridanc.on.ca
queensu.ca
mcmaster.ca
mcgill.ca
carleton.ca
douglas.bc.ca
.hr
comcast.net
webassign.net
there.com
uoguelph.ca
uottawa.ca
.jp
ych.com
icq.com
.tw
watchguard.com
walgreens.com
aircanada.ca
ibm.com
opusit.com.sg
vutbr.cz
vpost.com.sg
.md
vodafone
virginmobileusa.com
virginblue.com.au
mcafee.com
videotron.com
victoriassecret.com
veloz.com
vasa.slsp.sk
<bank_name>.com
uscitizenship.info
uscden.net
usafis.org
yesasia.com
ups.com
ucas.co.uk
uwindsor.ca
uoguelph.ca
unixcore.com
united.intranet.ual.com
preschoicefinancial.com
yorku.ca
trustinternational.com
trust1.com
trivita.com
travelcommunications.co.uk
travelclub.swiss.com
travel.priceline.com
travel.com.au
towerhobbies.com
game
hp.com
iprimus.com.au
iinet.net.au
music
ssdcl.com.sg
datasvit.net
starhubshop.com.sg
012.net
stanfordalumni.org
.cz
tdcwww.net
tmi-wwa.com
tm.net.my
tirerack.com
ti.com
ultrastar.com
ticketmaster.com
three.com.hk
theaa.com
tepore.com
recruitsoft.com
freedom.net
telstra.com
telpacific.com.au
techdata.com
quickbooks.com
tbihosting.com
inlandrevenue.gov.uk
symantec
sony
.kz
dell
cablebg.net
supergo.com
look.ca
maximonline.com
streamload.com
apple.com
puma.com
a-net.com
webtrendslive.com
gigaisp.net
ihost.com
monster.com
.sok
lanck.net
farlep.net
.kr
speedera.net
kundenserver.de
ingrammicro.com
campoints.net
ains.com.au
srp.org.sg
sqnet.com.sg
adaptec.com
worldgaming.net
sportodds.com
sportingbet.com
spiritair.com
swamp.lan
soundclick.com
hkuspace.org
soccer.com
solo3.<bank_name>.fi
snapfish.com
cometsystems.com
flextronics.com
esdlife.com
site-secure.com
singaporeair.com
sims.sfu.ca
simplyhotels.com
singnet.com.sg
silicon-power.com
signup.sprint.ca
shutterfly.com
shopundco.com
zoovy.com
go-fia.com
shoppersoptimum.ca
shopadmin.daum.net
o2online.de
ecompanystore.com
shkcorpws5.shkp.com
sfa.prudential.com.sg
hku.hk
vodafone.co.uk
cic.gc.ca
sfgov.org
rogers.com
macau.ctm.net
xs4all.nl
sympatico.ca
ariba.com
liveperson.net
sephora.com
senecac.on.ca
canon-europe.com
xtra.co.nz
t-mobile.co.uk
selfmgmt.com
securitymetrics.com
securewebexchange.com
western-inventory.com
playstation.com
imrworldwide.com
secureserver.net
secureordering.com
imrworldwide.com
securecart.net
wn.com.au
webeweb.net
mgm-mirage.com
w2express.com
vandyke.com
ubi.com
tsn.cc
trekblue.com
tickle.com
thewheelconnection.com
telusmobility.com
starbiz.net.sg
sparknotes.com
sparkart.com
sms.ac
billerweb.com
shaw.ca
safesite.com
register.com
oztralia.com
ordering.co.uk
orcon.net
optusnet.com.au
onlineaccess.net
oberon-media.com
nzqa.govt.nz
novuslink.net
nike.com.hk
netspeed.com.au
netfirms.com
netbilling.com
nai.com
nacelink.com
mysylvan.com
mouse2mobile.com
<bank_name>.com.au
lkw-walter.com
kent.net
reuters.com
intuitcanada.com
infusion-studios.com
indigosp.com
idx.com.au
hotbar.com
hostdozy.com
hilton.com
gevalia.com
fredericks.com
ezpeer.com
europeonline.com
e-registernow.com
emetrix.com
elsevier
element5.com
elance.com
earthport.com
directsex.com
directnic.com
deluxepass.com
delias.com
konetic.org
customersvc.com
c1hrapps.com
bnpparibas.net
<bank_name>.com
bearshare.com
authorize.net
advisor.com
adultfriendfinder.com
acadiau.ca
yimg.com
sebra.com
seatbooker.net
searchfit.org
eutelsat.net
carleton.ca
upjs.sk
scicollege.org.sg
sciamdigital.com
ebay
s-central.com.au
sbc.com
samsunggsbn.com
sammikk.com
La información de las paginas interceptadas es almacenada
en un archivo llamado 'global1f.pst'.
Posteriormente el archive EXE procesa los archivos PST creados
por el componente DLL, con la excepción de los archivos
'instant1f.pst' y 'global1f.pst' (que son utilizados para subir
la información a un sitio ftp).
Después de procesar los archivos PST creados para ciertos
bancos, el troyano crea el archivo ".ini" correspondiente
con información como: nombre del usuario, ID de cliente,
fecha de nacimiento, passwords, PINs, numero de cuentas y otra
información importante. Los siguientes archivos son creados
después de procesar el PST relacionado con el banco:
<bank1_name>_co_uk.ini
<bank2_name>.ini
<bank3_name>_co_uk.ini
<bank4_name>.ini
<bank5_name>.ini
<bank6_name>.ini
<bank7_name>.ini
<bank8_name>.ini
<bank9_name>_co_au.ini
<bank10_name>.ini
<bank11_name>.ini
<bank12_name>.ini
<bank13_name>.ini
<bank14_name>.ini
Los archivos con los datos obtenidos se suben a un sitio
ftp a directorios llamados 'MAIN', 'FILT' y 'SPAM'. Los datos
robados de bancos principales son guardados en archivos .INI y
se suben a un folder llamado 'MAIN', los datos robados de otros
bancos se guardan en un archivo llamado 'instant1f.pst' y se suben
a la carpeta 'FILT' y finalmente el archivo 'global1f.pst' con
datos obtenidos de diferentes URLs se suben al fólder SPAM.
El troyano modifica
el archive HOSTS para re-direccionar el nombre del dominio a 'web.da-us.citibank.com'
a la dirección IP 66.98.244.59.
El troyano intenta descargar y ejecutar un archivo llamado 'update8.exe'
desde el sitio 'www.projecx.net'. Al momento de crear esta descripción
ese archivo no era accesible, Adicionalmente el troyano intenta
descargar y correr el archivo llamado 'update.exe' desde un servidor
ftp donde el troyano sube la información robada.
El troyano coloca una pagina 'about:blank' como página
de inicio de IE.
Montp trojan busca y termina los procesos que se encuentren en
memoria que contengan cualquiera de los siguientes nombres:
ARMOR2NET.EXE
SAVSCAN.EXE
NPROTECT.EXE
NVSVC32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
La mayoría de estos nombre corresponden a software
antivirus y de firewall.
Recomendación:
Como siempre la recomendación principal es contar con un
antivirus actualizado y de ser posible un firewall personal. Como
este troyano es capaz de desactiva antivirus que estén
cargados, el contar con un firewall personal evita que el troyano
entre y por lo tanto que pueda desactivar la seguridad de su PC.
Desinfección
Manual:
Si quiere desinfectar manualmente este troyano debe verificar
las siguientes llaves del registro
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"qmin" = "%WinSysDir"\qmin\<nombre aleatorio.>.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion]
"qmin"
[HKCU\Software\Microsoft\Windows\]
"qmax"
y en caso de existir
debe de escribir en algún papel el nombre que aparece en
lugar de \<nombre aleatorio.>.exe , posteriormente eliminar
las llamadas.
Una vez con nombre en el papel, debe de buscar ese archivo en
toda la pc, y borrar el mismo.
Asimismo es recomendable buscar el archivo HOSTS y verificar que
no tenga la modificación hacia la dirección IP 66.98.244.59,
si la tiene, debe de borrarla.
Una vez realizado
esto, se recomienda ampliamente reinstalar el antivirus en su
PC, actualizarlo y hacer un rastreo completo en todo el disco
duro. F-Secure detecta esta variante desde el 7 de junio del 2004.
