Troj_Ash, un caballo de troya que busca robar claves bancarias

Internet es cada vez más importante en la actividad económica mundial, y dentro de esta tendencia, la banca electrónica es ya una herramienta común tanto para empresas como para ciudadanos. Las actividades financieras on line  se advierten tanto en la compra de artí­culos de consumo, pagos a proveedores nacionales e internacionales, nóminas electrónicas, pago de impuestos y derechos por servicios públicos, y muchí­simas relaciones comerciales más. Todas ellas han extendido el uso de la banca electrónica hasta llevarlo a ser, en los paí­ses más desarrollados, un espacio muy popular de actividad financiera y comercial. En diversos reportes de virus de Trend Micro se ha mencionado repetidamente una derivación en el comportamiento de las creaciones de código malicioso, de ser alarde tecnológico hacia la búsqueda de dinero fácil.

El spyware, o software espí­a, es una de las más acentuadas manifestaciones de los delincuentes en Internet, que husmean en las actividades de los usuarios hasta descubrir sus hábitos de navegación, los sitios que visitan y, si es posible, conocer sus credenciales de identificación en lí­nea para las páginas Web donde están suscritos y donde obtienen algún tipo de beneficio. TROJ_ASH.A es una sofisticada herramienta de espionaje, que fue montada en un Caballo de Troya por sus autores para robar claves de identificación bancaria. Tiene programadas en su código las direcciones URL de varios sitos internacionales de banca electrónica, de tal manera que, cuando son visitados por una computadora contaminada, intenta engañar al usuario presentándole una página falsa desde donde intenta obtener la clave de identidad y su contraseña. Paralelamente, ASH.A desactiva y elimina de las computadoras, cuando la encuentra, la nueva utilerí­a de seguridad lanzada por Microsoft a principios de este año. Se trata del Windows Antispyware, un programa que detecta y elimina los programas espí­a de las computadoras y que forma parte de la estrategia de seguridad de la firma para proteger a quienes utilizan su sistema operativo. El troyano posee, además, una serie de otras actividades que logran inhabilitar algunos mecanismos de seguridad del sistema afectado y evitar las visitas a ciertos sitios Web, algunos relacionados con programas de seguridad, pero también otros sitios comerciales, bancarios, académicos, etc. Este troyano, al igual que todos los programas maliciosos de este tipo, no posee una rutina de autopropagación, contamina una máquina sólo cuando el usuario lo instala, seguramente bajo engaños, pensando que es una aplicación de otra naturaleza. Puede ser descargado de un sitio Web o copiado a través de una aplicación para compartir archivos. El hecho es que alguien debe instalarlo en su computadora. Esto nos lleva, necesariamente, a una reflexión sobre la responsabilidad de los usuarios de computadoras al navegar por Internet. Es indispensable que posean una solución antivirus que vigile las actividades de su sistema en todos los niveles. Tanto en el disco duro para eliminar el riesgo de infecciones de virus, como el correo entrante y saliente, el tráfico de datos personales, y que también detecte las más novedosas manifestaciones de código malicioso que pretenden estafarlo, como el spyware, adware y phishing. Pero también es necesario que el usuario esté atento a su propia navegación y no caiga en la tentación de instalar cualquier aplicación, por más atractiva que esta parezca. Muchas veces son engaños y detrás de las aplicaciones evidentes, hay una maraña de código malicioso que intentará irrumpir en sus sistemas para hacer daño, robar información y espiar sus actividades en lí­nea.

Caracterí­sticas técnicas

TROJ_ASH.A es un Troyano destructivo, residente en memoria, que desactiva y borra todos los archivos relacionados con la aplicación Microsoft Windows Antispyware, recientemente liberada por Microsoft para los usuarios de su sistema operativo. Asimismo, este troyano roba información relacionada con sitios de banca electrónica, al monitorear las transacciones de este tipo que realiza el usuario a través de Internet, en ciertos sitios Web bancarios. Corre en Windows 95, 98, ME, NT, 2000, y XP.DetallesEste Troyano residente en memoria llega a un sistema como un archivo con el nombre ASH.DLL, que se aloja en la carpeta del sistema de Windows. Puede ser descargado por el usuario desde Internet. Antes de su instalación, el troyano verifica la instalación del componente antispyware de Microsoft Windows (Microsoft Windows Antispyware) y en caso de encontrarlo intenta terminar sus procesos y borrar los archivos relacionados con la aplicación. Este troyano roba información relacionada con sitios Web de banca electrónica, mediante el monitoreo de las transacciones que se realizan a través de Internet en una computadora infectada, en los siguientes sitios Web habilitados para banca electrónica:

• https://ibank.barclays.co.uk  
• https://ibank.cahoot.com  
• https://olb2.nationet.com  
• https://online.lloydstsb.co.uk  
• https://www.bankofscotlandhalifax-online.co.uk  
• https://www.ebank.hsbc.co.uk  
• https://www.ebank.hsbc.co.uk  
• https://www.millenniumbcp.pt  
• https://www.ukpersonal.hsbc.com  

Cuando el troyano identifica que la computadora visita uno de los sitios bancarios listados, despliega una página engañosa en leguaje HTML, que pretende lograr que el operario introduzca los datos de su cuenta bancaria. Los datos robados son enviados a un usuario remoto. En ese momento, el troyano deposita tres archivos de registro en la carpeta de Windows, donde guarda la información reunida:

• Email.log
• Pass.log
• Req.log

Además de recabar datos de identidad y contraseñas, obtiene las direcciones de correo electrónico que encuentra en el sistema. Estas direcciones las extrae de los archivos con las siguientes extensiones:

• .*ht*
• .adb
• .asp
• .dbx
• .doc
• .eml
• .msg
• .oft
• .ph*
• .pl*
• .rtf
• .tbb
• .tx*
• .uin
• .vbs
• .wab
• .xls
• .xml

Este troyano también finaliza ciertos procesos y modifica los archivos HOSTS. Estos archivos contienen el mapeo de ciertas direcciones IP a los nombres de sus servidores. Son cargados en la memoria de la computadora al iniciar el sistema y sirven para que Windows verifique este archivo antes de conectarse a los sitios Web. Si un sitio Web solicitado está listado en estos archivos, cualquier intento de conexión con ese sitio es redireccionado hacia la máquina local (es decir, a la dirección IP de la computadora del usuario). También bloquea los intentos de conectarse a Internet de otras aplicaciones, al incluir en los archivos HOSTS los sitios Web donde se busca la conexión. En general, los archivos HOSTS son utilizados para bloquear anuncios, banners, cookies  y sitios Web maliciosos. Sin embargo, esta técnica es usada por muchos ejemplares de código malicioso para evitar que la máquina se conecte a los sitios relacionados con sus productos antivirus y de seguridad.