3 de junio de 2016

En junio de 2016 los analistas de virus de la empresa Doctor Web finalizaron la investigación del nuevo virus peligroso. Es capaz de robar dinero desde las cuentas de los bancos rusos, robar la información confidencial y espiar a su víctima de varias formas. El virus hereda algunas soluciones técnicas de troyanos bancarios muy conocidos (Trojan.PWS.Panda) y Carberp, pero, a diferencia de los mismos, puede difundirse sin participación del usuario e infectar los archivos ejecutables. En eso consiste su mayor peligro. Además, es muy difícil eliminarlo del equipo infectado: la desinfección puede llevar varias horas.

Este programa nocivo fue llamado Trojan.Bolik.1. Su diferencia principal de otros troyanos bancarios modernos, tales como Zeus y Carberp, es la capacidad de autoproliferarse sin participación del usuario e infectar los archivos ejecutables. Estos programas nocivos se llaman virus de archivos polimórficos.

La capacidad de autoproliferarse y de infectar programas puede considerarse la propiedad más peligrosa de este banker. La función de autoproliferación se activa por comando de los malintencionados, y luego Trojan.Bolik.1 empieza a sondear archivos disponibles para escritura en los sitios de red Windows y en los dispositivos USB conectados, busca los archivos ejecutables guardados allí y los infecta. Así mismo, Trojan.Bolik.1 puede infectar tanto las aplicaciones de 32 bits, como de 64-bits.

Los programas infectados por este virus se detectan por el Antivirus Dr.Web bajo el nombre Win32.Bolik.1. Dentro de cada programa de este tipo se guarda el mismo troyano bancario cifrado Trojan.Bolik.1, así como otra información necesaria para el virus. Si el usuario inicia la aplicación infectada en su equipo, el virus descifra el troyano bancario Trojan.Bolik.1 y lo inicia directamente en la memoria del equipo atacado, sin guardarlo en la unidad. Así mismo, el virus tiene un mecanismo especial incrustado que permite modificar «al vuelo» el código y la estructura de la parte propia encargada de descifrar Trojan.Bolik.1. De esta forma, los creadores de virus intentan dificultar la detección de su programa por los medios antivirus. Además, Win32.Bolik.1 intenta afrontar los antivirus que pueden ejecutar los programas nocivos paso por paso en un emulador especial, — en la arquitectura de este virus están previstos los «moderadores» que consisten en un conjunto de ciclos e instrucciones repetidas.

Trojan.Bolik.1 heredó de Carberp un sistema de archivos virtual que se guarda en un archivo especial. El troyano ubica este archivo en alguno de directorios de sistema o en la carpeta del usuario. El sistema de archivos virtual le permite al programa nocivo guardar de forma oculta en el equipo infectado la información necesaria para su funcionamiento. Trojan.Bolik.1 le prestó a Zeus un mecanismo de incrustar contenido ajeno en las páginas web visualizadas por los usuarios, es decir, la realización de la tecnología de web injects. Usando la misma, los malintencionados les roban a sus víctimas los nombres de usuario y las contraseñas de acceso a sistemas «banca-cliente» y otra información de valor. Trojan.Bolik.1 está destinado sobre todo para robar la información a clientes de los bancos rusos — lo confirmas las líneas características en el archivo de configuración que le transmite al virus desde el servidor administrativo.

El propósito básico de Trojan.Bolik.1 — es el robo de la información de valor de varios tipos. Puede lograr este objetivo de varios modos. Por ejemplo, controlar los datos transmitidos y enviados por los navegadores Microsoft Internet Explorer, Chrome, Opera y Mozilla Firefox. Gracias a eso, el troyano es capaz de robar la información que el usuario introduce en los formularios de la pantalla. Además, las herramientas de espionaje del banker incluyen un módulo para crear las copias de pantalla (screenshots) y registrar las pulsaciones de teclas por el usuario (keylogger). Así mismo, Trojan.Bolik.1 sabe crear en el equipo infectado su propio servidor proxy y el servidor web que permite intercambiar archivos con los malintencionados. Este programa nocivo puede encontrar los archivos necesarios por la máscara establecida en un comando especial. Al igual que algunos otros troyanos bancarios modernos, Trojan.Bolik.1 es capaz de organizar las así llamadas «conexiones reversibles» — usando las mismas, los ciberdelincuentes pueden «comunicarse» al equipo infectado que está en la red protegida por el Firewall o no tienen la dirección IP externa, es decir, que funcionan en la red usando NAT (Network Address Translation). Toda la información que Trojan.Bolik.1 intercambia con el servidor administrativo se cifra usando un algoritmo sofisticado y se comprime.

Las posibilidades funcionales de Trojan.Bolik.1 parecen realmente amenazantes, y su arquitectura interna es bastante difícil y complicada. El Antivirus Dr.Web detecta y borra todos los componentes de este virus peligroso, pero por causa de algunas peculiaridades internas de Trojan.Bolik.1 la desinfección del equipo infectado puede llevar bastante rato. Les recomendamos a los usuarios víctimas de este programa nocivo tener paciencia durante el escaneo antivirus del PC.

Más información sobre el virus