Ago 27 2016

Elimina GLPS.exe


El gusano GLPS.exe fue diseñado para robar información bancaria del usuario infectado. Originalmente los datos robados estaban relacionados con un banco brasileño, pero fue modificado para robar información de bancos mexicanos. En alerta-antivirus.inteco.es podemos leer que este malware registra las pulsaciones de teclado introducidas en las páginas de los bancos y también es capaz de realizar capturas de imágenes y así poder obtener la información escrita a través de los teclados virtuales.

Crea un archivo Autorun.inf en la raíz de las particiones de disco que encuentre, así como también un ejecutable llamado autorun.exe dentro de la carpeta RECYCLER, con el siguiente contenido:

[autorun]
open=RECYCLER\autorun.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\autorun.exe
shell\open\default=1

Se copia a sí mismo (glps.exe) dentro de la carpeta [unidad]:\RECYCLER\S-1-5-21-xxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxx, donde las x son cualquier número. Crea un clave en el registro con el nombre Taskman para ejecutarse en cada reinicio.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

Modifica el archivo host con las siguientes direcciones:

148.244.43.5 www.bancomer.com
148.244.43.5 bancomer.com
148.244.43.5 www.bancomer.com.mx
148.244.43.5 bancomer.com.mx
148.244.43.5 bbvanet.com.mx
148.244.43.5 www.bbvanet.com.mx
192.193.230.100 www.banamex.com.mx
192.193.230.100 banamex.com.mx
192.193.230.100 www.banamex.com
192.193.230.100 banamex.com
69.73.184.133 see.sbi.com.mx
69.73.184.133 scotiabank.com.mx
69.73.184.133 scotiabankinverlat.com
69.73.184.133 scotiabankinverlat.com.mx
69.73.184.133 www.see.sbi.com.mx
69.73.184.133 www.scotiabank.com.mx
69.73.184.133 www.scotiabankinverlat.com
69.73.184.133 www.scotiabankinverlat.com.mx
69.73.184.133 inverweb3.scotiabankinverlat.com
69.73.184.133 www.inverweb3.scotiabankinverlat.com

Crea ejecutables en la carpeta de los temporales, temp, con nombres aleatorios formados por 3 números.

Temporales

También crea ejecutables en la carpeta Archivos temporales de Internet, cuyos nombres son palabras aleatorias al igual que los anteriores.

Temporales de Internet

Se ha hecho el siguiente script para su eliminación, el cual se puede descargar del enlace que aparece abajo.

DescargarDescargar

Deja un comentario

Your email address will not be published.