El ELISTARA 20.27 actual pasa a controlar nueva variante de BANKER/BANBRA con singular método de ocultamiento

---

Un nuevo troyano bancario de la familia BANLOAD / BANBRA ha hecho su aparicion con singulares métodos de infección y ocultamiento, ya que usan el nombre de ficheros típicos de sistema como SERVICES.EXE, JQS.EXE, SPOOLSV.EXE y con ello dificulta su deteccion al no distinguirlo facilmente analizando los log de analisis típicos del HJT o del SProces

El primero de los ficheros, SERVICES.EXE, lo emplea windows desde la carpeta de sistema, mientras que este además hace una copia sin extension y luego lo copia con el nombre de SPOOLSV.EXE lo cual se confunde con el mismo nombre del de sistema como el del SERVICES.EXE

Y es lanzado por el mismo sistema en el inicio, ejecutandose desde la carpeta temporal con nombre variable, como el que hemos examinado _DF22CBH.tmp empezando el proceso virico programado, con captura de passwords bancarios y envio de los mismos al autor del troyano.

Crea además el JQS.EXE que tambien tiene el sistema, y este ya es detectado actualmente por solo un 30 % de los antivirus:



y tambien crea el SPOOLSV.EXE que pasa desapercibido por su nombre igual al del sistema...

Todo ello hecho con mucha picardía para pasar desapercibido ante los examinadores de los logs, hasta que hemos visto lo que hacía el que se ejecutaba desde memoria temporal, y tirando del hilo hemos llegado al ovillo

Hemos implementado en el EliStarA 20.27 el control y eliminaciÓn de estas nuevas peligrosas variantes, y que conviene eliminar en el caso de detectarlas, y cambiar cuentas bancarias o al menos los passwords aunque se haya eliminado, pues puede haber ya transmitido los datos bancarios !

viewtopic.php?f=11&t=31109

(Banbra.GD "JQS.EXE" y Spy.Banker.DYY "SERVICES.EXE")

Ante la sospecha, aviso del banco o aparicion de posible phishing pidiendo claves, probar el EliStarA > 20.27 y ver el infosat.txt resultante.

saludos

ms, 5-2-2010