07/12/2006 -
FormShared.A es un gusano que, en realidad, tiene como objetivo propagar al troyano
SpyForms.S a través de programas de intercambio de archivos punto a punto (P2P).
Para conseguirlo, FormShared.A cuenta con su propio cliente P2P. Así, crea una subcarpeta denominada SHARED en el directorio de Windows. La misma contiene una serie de archivos con nombres falseados para que otros usuarios que accedan a dicho directorio descarguen de manera voluntaria a SpyForms.S. Algunos de los nombres que el gusano puede utilizar para crear dichos ficheros son: 4SCREENS V3.19 BY MP2K.CZIP, 4T AV V1.8 CD-VERSION FOR PALMOS.CZIP, 4T PUBLICATION 1.2 FOR PALMOS.CZIP, o 4TEAM FOR MICROSOFT OUTLOOK 2002 V1.50.0202 RETAIL.CZIP.
Por su parte, Banker.FOH es un troyano diseñado para robar información confidencial del ordenador afectado, como nombres de usuario y contraseñas. Para ello, registra las pulsaciones de teclado introducidas por el usuario, almacenándolas y enviándolas posteriormente por correo electrónico.
Como dato a tener en cuenta, en caso de que Banker.FOH se ejecute en un ordenador sin conexión a Internet, se mostrará un mensaje de error en pantalla con el texto: Socket Error # 11004.
Al igual que la mayoría de los troyanos, Banker.FOH no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario malicioso para ello. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Finalmente, Banbra.DMW es un troyano que esta diseñado para robar datos confidenciales de los usuarios de una conocida entidad bancaria de Brasil. Una de sus características es que se trata de un código malicioso de “un solo uso”, ya que solamente se ejecuta una vez en cada ordenador al que afecta.
Cada vez que infecta un ordenador, Banbra.DMW envía un mensaje de correo electrónico al autor del troyano indicando el nombre de usuario y la hora de infección de la máquina. Hecho esto, secuestra el navegador Internet Explorer a la espera de que el usuario acceda a la página de la entidad bancaria. En ese momento, Banbra.DMW lo redirige a una página web falsa -creada por el propio troyano- y que imita a la original.
Por último, el troyano recopila y envía por correo electrónico todos los datos robados, con los que el atacante puede realizar estafas online y robos de identidad.