Bublik.b

0

Troyano Bublik.bBublik.b es el nombre del troyano del que os hablaremos hoy. Se trata de un malware que está de moda, extendiéndose de forma vertiginosa por la web y que viene camuflado como una falsa actualización del sistema operativo Windows entre otras variantes.

Se trata de un troyano cuya versión primitiva ya fué reportada por Microsoft allá por 2011, sin embargo han aparecido nuevas versiones del mismo en 2012 y de nuevo hace pocos días o semanas. Otras dos denominaciones para el malware son PWS-Zbot.gen.xj (Mcafee) y Troj/BredoZp-IP (Sophos)

Trojan:Win32/Bublik.B (para Microsoft) es un troyano cuyo objetivo es robar datos de credenciales de acceso a dispositivos, además de credenciales bancarias online. También fuerza el uso de Internet Explorer aunque el usuario intente ejecutar cualquier otro navegador en el ordenador infectado.

SINTOMAS

Dos síntomas pueden alertarnos de la presencia del troyano Bublik.b en nuestra equipo.

– Cuando se inicia uno de los siguientes exploradores, Internet Explorer es iniciado en su lugar:

  1. Google Chrome
  2. Netscape Navigator
  3. Opera
  4. Safari

– Se agrega un valor de registro como debugger o Depurador para Userinit.exe, quedando como muestra el ejemplo: 

En la subclave HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe asigna el valor “Debugger” con el dato adjunto: <Nombre del malware> Por ejemplo: “Bublik.b.exe”.

PROPAGACIÓN

Se habla de varias formas de aparición o distribución del troyano Bublik.b a través de la red.

  • Como una actualización de Windows que no es tal. (No hemos podido confirmar el caso)
  • Como un archivo adjunto incluido en emails que circulan por la web, con el asunto “Booking confirmation” (Información de reserva), conteniendo un archivo en formato zip llamado From-Booking-Com_Reservation-Details04261270703.zip

Cuando Trojan:Win32/Bublik.B es ejecutado por vez primera, este crea dos copias de sí mismo en carpetas del sistema, como ejemplos:

%Directorio de instalación%System32B48A1CB38B4C5E5D18A.exe

– %Directorio de instalación%System32defp.exe

El registro de Windows es modificado para que tenga en cuenta estas dos nuevas ubicaciones al ejecutarse userinit.exe, lo cual tiene lugar en cada inicio del equipo.

Para esconder su actividad este troyano es inyectado en el proceso de sistema “crss.exe”. Además cre una subclave aleatoria en el registro.

– En la subclave HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet Settings<version>1D01061D asigna el valor “(default)” con estos datos: .0z._b¨ýnñãåíýdé¥..xgcèo)sìt.r!.þ.~¤.ïð«1…ó.86.!9qx5°.qò.ýûé´½ï{î….$/çznr.eµ.&ç.±.û<.óð%äc.âvfc./ð.qi×.|ó.¬¸äuòàø..).êm..|q.^n¬õ«xæ.é¡ï#…ålfw.s8.y*ê.e..üíç&õí…q.·.[%å^õ#.¹äú.æ·-ñwz.¬¥íonz

IMPACTO

La aparición de este troyano deshabilitará los siguientes exploradores de internet:

– Opera

– Google Chrome

– Safari

– Netscape navigator

Si tenemos un proxy habilitado el troyano lo deshabilitará, empleando la subclave:

– HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet Settings. Asignará la entrada “Proxyenable” con valor “0”

Monitorización de datos personales

El troyano Bublik.b se inyecta en los siguientes procesos para capturar información personal:

  • thebat.exe
  • msimn.exe
  • iexplore.exe
  • explorer.exe
  • myie.exe
  • firefox.exe
  • mozilla.exe
  • avant.exe
  • maxthon.exe
  • OUTLOOK.EXE
  • ftpte.exe
  • coreftp.exe
  • filezilla.exe
  • TOTALCMD.EXE
  • cftp.exe
  • FTPVoyager.exe
  • SmartFTP.exe
  • WinSCP.exe 

Comunicación con servidor remoto

El siguiente paso que da el troyano es comunicar con un servidor para transmitir datos importantes:

– Versión del sistema operativo

– Configuración de red

– Libro de direcciones de Windows

– Credenciales de programas anteriormente capturadas

Los servidores elegidos recibirán la información para que el atacante pueda tomar decisiones y son los que siguen:

  • safeoil.net
  • armyclub.netquickring.net
  • quickring.net
  • genubajom.servegame.com
  • tekiharob.sytes.net
  • rivadolti.sendsmtp.com

PREVENCIÓN

Conviene tener en cuenta los siguientes consejos para no ser infectado por troyanos de este tipo:

  • Tener un firewall activado y configurado.
  • Obetener actualizaciones de sistema y programas en cuanto estén disponibles.
  • Usar un antivirus actualizado.
  • Limitar los privilegios de las cuentas de usuario en la medida de lo posible.
  • Tener precaución al abrir enlaces o archivos adjuntos que recibamos por cualquier via (correo electrónico, mensajería instantánea,etc)
  • No descargar software pirata, ya que en un altísimo porcentaje vienen repletos de amenazas ocultas.
  • No caer en engaños relacionados con la ingeiería social (ataques en redes sociales)
  • Usar passwords fiables y no repetidas.

ELIMINACIÓN

Tenemos constancia de que al menos tres productos son capaces de detectar y por tanto en teoría desinfectar la amenaza:

– McAfee

– Sophos

– MSE (Microsoft)

 

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR