Alias: Trojan.Win32.Eurosol, W32/Troyan.Eurosol

Este troyano aparecido el 21 de Mayo de 2001, afecta a las cuentas de crédito de los usuarios del servicio financiero virtual ruso WebMoney.ur.

El troyano se oculta en el programa CC-Bank de WebMoney. Este programa permite al usuario ganar dinero por visualizar banners publicitarios. Mientras ofrece la publicidad, Eurosol crea en el directorio de Windows el archivo NETBIOS32.EXE.

Para ejecutarse cada vez que se inicie el equipo, modifica el archivo SYSTEM.INI, donde introduce la siguiente línea en la sección:

[boot]
shell=Explorer.EXE Netbios32.exe/run

Para finalizar, crea los archivos: STTAK.DAT y STTL.DAT.

Eurosol, para recibir la información de la cuenta de la víctima, busca en el equipo atacado dos archivos: uno contiene un código secreto, Keys.kwm, y el otro, Purses.kwm, el monedero virtual. Si los localiza, estos archivos se encriptan y se envían a un servidor FTP remoto. Para asegurar el éxito de la transferencia, el troyano neutraliza el firewall personal ATGuard instalado en el PC para luego modificar sus parámetros de modo que ATGuard no impida la instalación de la conexión TCP/IP con los servidores externos.

El hacker podrá obtener los carteras y passwords robadas desde el servidor FTP. Y desde su propia copia del programa WebMoney podrá transferir cualquier cantidad de dinero de las cuentas robadas a su propia cuenta o incluso, recibir giros postales.