18/08/2006 -
Oskarbot.KD es el primer código malicioso que ha aprovechado la vulnerabilidad de Microsoft MS06-040 para infectar los sistemas. Según la información de PandaLabs, Oscarbot.KD busca ordenadores que presenten dicha vulnerabilidad. En caso de encontrarlos, provoca un desbordamiento de búfer en el sistema, y ejecuta el código necesario para descargar una copia de sí mismo en el ordenador en un archivo que lleva por nombre wgareg.exe. Sin embargo, Oscarbot.KD también puede propagarse utilizando el servicio de mensajería instantánea de AOL y a través de unidades compartidas.
Cuando el gusano se instala en el equipo abre el puerto de comunicaciones 18067 y se conecta a determinados servidores de IRC. De esta manera, un hacker remoto puede comunicarse con Oscarbot.KD para descargar y ejecutar todo tipo de software en el ordenador afectado o lanzar ataques a otras máquinas, entre otras muchas acciones.
Además, Oscarbot.KD modifica diversas claves en el registro de Windows con el objetivo de desactivar el firewall que incluyen algunas versiones de dicho sistema operativo.
Nabload.JC es un troyano, que -como otros muchos- no puede propagarse automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs o mensajes de correo electrónico con archivos adjuntos. La función de Nabload.JC es descargar al último código malicioso del que nos ocuparemos en este informe: Banker.EEA.
Banker.EEA es un troyano que modifica la página de autenticación del banco alemán Postbank que se muestra en el navegador web cuando el usuario accede a ella. El troyano la modifica de manera que, además de solicitar el nombre de usuario y el PIN, también requiere el TAN (Transaction Authorization Number). Cuando el troyano consigue dicha información la envía a un servidor de donde puede ser recogida por usuarios maliciosos para utilizarla con fines delictivos.
Debe tenerse en cuenta que, aunque Banker.EEA está específicamente dirigido a clientes de Postbank, también controla y registra información introducida en formularios de otras fuentes, como por ejemplo, otras entidades bancarias o servicios de correo web.