Nuevo Troyano: modulos.exe

Publicado en 'Seguridad Informática' por Karlen, 9 Set 2009.





  1. Karlen

    Karlen Miembro de plata

    Registro:
    29 Jul 2009
    Mensajes:
    3,983
    Likes:
    1,157




    Hola a todos, el día de ayer fui a revisar la PC de un cliente que se quejaba de no poder acceder a la página web del BCP para hacer sus acostumbradas operaciones. El cliente cuenta con el Norton 360 original recientemente comprado como una actualización de la versión anterior, estaba actualizado y operativo.

    El cliente me comentó que los problemas se originaron el día sábado último luego que su nieta estuvo jugando con la PC (Hotmail, Facebook, etc).

    Obviamente por lo que me comentó por teléfono el problema era el archivo HOSTS, cuando lo revisé me causó sorpresa que las páginas de los bancos no estuviese dirigida a una IP "normal" sino al 127.0.0.1, es decir, a la propia PC, luego de eliminar las llamadas en el HOSTS la página cargó normal pero la PC seguía lenta, es decir, la infección continuaba, además, cuando se cargaba el 127.0.0.1, localhost, o la IP de la PC (que a final de cuentas es lo mismo) se cargaba una página del BBVA Banco Continental (para ingresar a la cuentas), era la página real y no la trucada pero igual no es algo normal.

    Le pasé el Hijackthis y encontré la siguiente llamada:

    c:\Windows\system\www\modulos.exe

    Por el nombre no me llamó la atención mucho salvo el que esté en la carpeta system, busqué una referencia en Google y no encontré nada, por lo que le pasé el Malwarebyte's Antimalware el cual no encontró nada raro (en el escaneo rápido).

    Ante esto empecé a terminar procesos raros y probar con la página que arroja localhost, cuando terminé con el proceso modulos.exe el problema se resolvió, eliminé toda la carpeta y quité la llamada a ese archivo y la PC volvió a la "normalidad".

    Ahora buscando en Google con más paciencia he encontrado esto:

    http://www.threatexpert.com/report.aspx?md5=e5f8e028453fb53907e9f83356359be5

    Lo pongo aquí para que tengan cuidado si es que se encuentran con esto ya que, por lo menos para mí, parece una nueva forma de sacar información de acceso a las cuentas de los clientes del BCP, Scotiabank y, al parecer, también del BBVA Banco Continental.
     
    Última edición: 9 Set 2009


  2. Wally2010

    Wally2010 Miembro nuevo

    Registro:
    8 Set 2009
    Mensajes:
    1
    Likes:
    0
    Hola Karlen, gracias por el dato; parece un nuevo troyano que quiere apoderarse de las claves de bancos para operaciones fraudulentas.
    Por lo que dice la pagina que referencias, el virus tuvo su origen en España, lo que parece raro pues ataca a portales de bancos del Peru.

    Debemos estar alertas para aquellos que realizamos transacciones por Internet.

    Gracias nuevamente por el dato.
     
  3. BLake

    BLake Miembro frecuente

    Registro:
    6 Mar 2009
    Mensajes:
    192
    Likes:
    17
    Un anitivirus no es suficiente, ojo no te vayas a instalar 2 antivirus tampoco es la solucion, se debe tener tambien un antispyware, este ultimo es mas importante aun que el antivirus para todos aquellos que navegan por las web. Y recuerda el mejor antivirus es uno mismo.
    Saludos.
     
    Última edición: 9 Set 2009
  4. DevPunk

    DevPunk Miembro nuevo

    Registro:
    11 Set 2009
    Mensajes:
    21
    Likes:
    0
    Muy buena informacion amigo :)
    Y esa web threatexpert si que es muy buena me ha solucionado de muchas infecciones.

    Pero parece curioso que el pasis de origen del troyano este relacionado con españa :)

    Todo spyware/ troyano creo que crea entradas en el file hosts.
    Por lo que simpre lo dejo con el loop Ip y Locahost.

    Saludos
     
  5. yorihua25

    yorihua25 Miembro maestro

    Registro:
    15 Jul 2008
    Mensajes:
    550
    Likes:
    6
    Los Virus Siempren entran a la PC si pueden entrar al Pentagono con la seguridad q se maneja q sera un PC comun y corriente
     
  6. youkai

    youkai Miembro frecuente

    Registro:
    10 Dic 2008
    Mensajes:
    140
    Likes:
    0
    Y como sabes que no tiene también un antispyware? me parece que el tema no va por ese lado.


    Con respecto al origen del virus es mas común de lo que se imaginan las personas que se dedican a esto no son nada desorganzadas, son casi organizaciones que operan desde países ya conocidos como China, Rusia, USA, España, etc. Este tipo de ataques cada vez serán mas comunes y sofisticados, en tu caso seria conveniente que recomiendes a tu cliente que ademas utilice la clave digital para las operaciones por la pagina.


    http://www.viabcp.com/Connect/clavedigital.html
     
  7. M.r_Rock

    M.r_Rock Suspendido

    Registro:
    27 Jun 2009
    Mensajes:
    150
    Likes:
    3
    [​IMG][FONT=&quot]
    [/FONT]
    [FONT=&quot]hahaha.... hOla que tal, soy muy bueno acerca de la seguridad en pcs. :)
    (senati)

    [/FONT]
    [FONT=&quot]no es un nuevo troyano, xP [/FONT]

    -------------------------------------------------


    • [FONT=&quot]There were new processes created in the system:[/FONT]
    [FONT=&quot]Process Name[/FONT]
    [FONT=&quot]Process Filename[/FONT]
    [FONT=&quot]Main Module Size[/FONT]
    [FONT=&quot]modulos.exe[/FONT]
    [FONT=&quot]%Windir%\system\www\modulos.exe[/FONT]
    [FONT=&quot]73.728 bytes[/FONT]
    [FONT=&quot][filename of the sample #1][/FONT]
    [FONT=&quot][file and pathname of the sample #1][/FONT]
    [FONT=&quot]159.744 bytes[/FONT]
    [FONT=&quot]
    [/FONT]
    [FONT=&quot]----------------------------------------------------------------------------------------

    hasta puede ser patito.exe o archivonew.exe

    mi pregunta es has ido a la carpeta :

    C:\WINDOWS\system ?? ¬¬

    por que supuestamente hay una carpeta que se llama
    " www "o sea C:\WINDOWS\system\www\ (en la compu de tu cliente)
    y allí interiormente están los bichitos.
    por que esa carpeta no existe en cualquier otra computadora
    que tiene un windows limpio.

    [/FONT][​IMG]

    [FONT=&quot] para mi que alguien descargo algun archivo camuflado,
    Autoejecutable-silencioso con una ruta hacia :C:\WINDOWS\system\...
    creando una carpeta " WWW " lleno de bichos xP.

    Es mejor comprar un Antivirus Kaspersky original , y dejar de usar Norton que no es
    tan eficiente.

    ha para Navegar mas seguro MOZILLA FIREFOX =]

    ( Internet explorer es mas vulnerable u.u.)

    bye. :chau:
    [/FONT]


    [​IMG]
    (ya pronto Postearé sobre virus y toyanos que comunmente hay en
    pendrivers[memoria USB] y en nuestra pcs por culpa de la prima. xP)



     
    Última edición: 13 Set 2009
  8. Karlen

    Karlen Miembro de plata

    Registro:
    29 Jul 2009
    Mensajes:
    3,983
    Likes:
    1,157
    Hola M.r_Rock, si no es un nuevo troyano podrías decirnos de cuándo es o en qué troyanos se basa o de cuál o cuáles es una nueva versión.

    Sí, podría tener cualquier nombre, eso es obvio, pero la pregunta persiste, en qué te basas para decir que no es un nuevo troyano, sólo para estar seguros.

    Si te fijas en el primer post de esta discusión digo que encontré la llamada a dicho archivo y puse la ruta que ahora preguntas si es que revisé, claro que la revisé, luego de terminar ese proceso y dar con que dicho archivo era el problema, procedí a eliminar toda la carpeta (tal como lo conté en el primer post)

    El que alguien haya bajado ese autoejecutable "camuflado" como dices es lo que sugiero al decir que todo comenzó luego que la nieta estuvo jugando con la PC (facebook, messenger, etc). Eso más o menos que calza con un troyano... ¿no crees?

    Sí, estoy de acuerdo contigo sobre el Kaspersky, sin embargo hay clientes que no quieren dejar sus antivirus, por ejemplo este cliente usa el Norton 360, el cual tiene una opción de backup que usa y que, lamentablemente, no es parte del Kaspersky. Eso hace que ofrecerle otra opción no le guste.

    Sobre usar el Mozilla Firefox u otro navegador pues la cosa va por el mismo camino, gustos, uno puede ser más "seguro" que otro, sin embargo, quien al final elige qué usar es el cliente y uno sólo puede sugerir soluciones. En este caso el cliente prefiere usar el IE8

    Una pregunta más, ya que mencionas a Senati, quisiera que me digas más o menos qué cursos de seguridad llevan y más o menos cuáles son los temas que tocan, además de si es que los dan como cursos libres o no, esto más que nada para ver si vale la pena llevar un curso ahí o no.

    Saludos.
     
  9. lucho09

    lucho09 Miembro frecuente

    Registro:
    24 Ago 2009
    Mensajes:
    98
    Likes:
    0
    Osea no basta tener un buen antivirus original.
    Toda compuradora necesita tambien de un buen antispyware, para combatir los troyanos que abundan en internet.
     
  10. Karlen

    Karlen Miembro de plata

    Registro:
    29 Jul 2009
    Mensajes:
    3,983
    Likes:
    1,157
    Lo que pasa Lucho es que no hay (ni lo habrá) un antivirus 100% efectivo, por eso es mejor tener más alternativas de seguridad a la mano.
     
  11. Metalzoa

    Metalzoa Miembro maestro

    Registro:
    21 Jul 2008
    Mensajes:
    845
    Likes:
    9
    Me han dicho que con windows 7 no corren tantos virus.
     
  12. Milo

    Milo Moderador Global

    Registro:
    3 May 2008
    Mensajes:
    4,900
    Likes:
    1,402
    Una de las ventajas de windows 7 es q han desactivado el "ejecutar" de las memorias USB... en Windows XP y Vista.. al momento q salia la pantalla de opciones de q deseas hacer con la memoria conectada, la primera era ejecutar el explorador para revisar la memoria, ahi los virus se ejecutaban... ahora win 7 lo q hace es como si dieras click derecho e irias a explorar...
     
  13. cazador.asesino

    cazador.asesino Miembro maestro

    Registro:
    6 Jun 2008
    Mensajes:
    703
    Likes:
    8
    No me habia fjado en eso...
    En mi compu ya no aparece ningun menucuando conecto mi usb
     
Etiquetas: