Inicio de zonavirus, antivirus

Malware, scam, Facebook y Messenger… todo junto : Worm/Win32.Yahos

msc hotline sat
Monday, December 27, 2010

Nuevamente podemos observar que la técnica de Ingeniería Social sigue siendo la manera preferida a la hora de infectar grandes cantidades de victimas. Se ha identificado una nueva amenaza de infección, la cual se está trasmitiendo por mensajería instantánea. En este caso es a través del mensajero Windows Live Messenger, aunque también utiliza la famosa red social Facebook con el objetivo de que a la víctima se le genere confianza al acceder a este sitio, para luego descargar el malware.





El enlace nos lleva a una página oficial de Facebook, donde esta nos advierte que nos encontramos saliendo del dominio del mismo. Vale destacar que esto ocurre, tanto si el usuario está logado como si no… Posteriormente, se advierte sobre los peligros de seguridad del redireccionamiento.





Si el usuario avanza, se llega a una página de un scam de Facebook, en el cual aparece una supuesta foto, y se ofrece la descarga de un archivo de nombre “image96523489?, el cual es detectado con el nombre de Worm/Win32.Yahos:



File name: nvsvc32.exe

Submission date: 2010-12-23 05:51:56 (UTC)

Current status: finished

Result: 27 /43 (62.8%)

VT Community



malware

Safety score: 0.0%

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2010.12.23.01 2010.12.22 Worm/Win32.Yahos

AntiVir 7.11.0.144 2010.12.22 TR/Agent.65024.47

Antiy-AVL 2.0.3.7 2010.12.23 Worm/Win32.Yahos.gen

Avast 4.8.1351.0 2010.12.22 Win32:Malware-gen

Avast5 5.0.677.0 2010.12.22 Win32:Malware-gen

AVG 9.0.0.851 2010.12.23 Crypt.AEVO

BitDefender 7.2 2010.12.23 Worm.FaceBlocker.B

CAT-QuickHeal 11.00 2010.12.23 -

ClamAV 0.96.4.0 2010.12.23 -

Command 5.2.11.5 2010.12.23 -

Comodo 7155 2010.12.22 P2PWorm.Win32.Palevo.GZA

DrWeb 5.0.2.03300 2010.12.23 Trojan.Siggen2.12244

Emsisoft 5.1.0.1 2010.12.23 Win32.SuspectCrc!IK

eSafe 7.0.17.0 2010.12.22 -

eTrust-Vet 36.1.8055 2010.12.22 -

F-Prot 4.6.2.117 2010.12.22 -

F-Secure 9.0.16160.0 2010.12.23 Worm.FaceBlocker.B

Fortinet 4.2.254.0 2010.12.21 -

GData 21 2010.12.23 Worm.FaceBlocker.B

Ikarus T3.1.1.90.0 2010.12.23 IM-Worm.Win32.Yahos

Jiangmin 13.0.900 2010.12.22 -

K7AntiVirus 9.74.3319 2010.12.22 -

Kaspersky 7.0.0.125 2010.12.23 IM-Worm.Win32.Yahos.gc

McAfee 5.400.0.1158 2010.12.23 Generic.dx!vgs

McAfee-GW-Edition 2010.1C 2010.12.22 Generic.dx!vgs

Microsoft 1.6402 2010.12.22 Worm:Win32/Slenfbot

NOD32 5726 2010.12.22 Win32/Yimfoca.AA

Norman 6.06.12 2010.12.23 -

nProtect 2010-12-22.01 2010.12.22 -

Panda 10.0.2.7 2010.12.22 Trj/CI.A

PCTools 7.0.3.5 2010.12.23 Malware.Yimfoca

Prevx 3.0 2010.12.23 -

Rising 22.79.02.01 2010.12.23 Trojan.Win32.Generic.525303F9

Sophos 4.60.0 2010.12.23 Mal/Generic-L

SUPERAntiSpyware 4.40.0.1006 2010.12.23 Trojan.Agent/Gen-FakeAlert

Symantec 20101.3.0.103 2010.12.23 W32.Yimfoca

TheHacker 6.7.0.1.104 2010.12.21 -

TrendMicro 9.120.0.1004 2010.12.23 -

TrendMicro-HouseCall 9.120.0.1004 2010.12.23 -

VBA32 3.12.14.2 2010.12.21 Malware-Cryptor.Inject.gen

VIPRE 7768 2010.12.23 Trojan.Win32.Generic.pak!cobra

ViRobot 2010.12.23.4215 2010.12.23 Trojan.Win32.Agent.65024.BA

VirusBuster 13.6.108.0 2010.12.22 -

Additional informationShow all

MD5 : 4f2fa7233465d8800be0497aa8a871ed

SHA1 : ff4fabffd4389fec8b2897d84d8448f13aac9bbc



File size : 65024 bytes









Estos son los datos del archivo en cuestión:



Nombre del archivo: image96523489

Tamaño del archivo: 65.024 bytes

MD5: 4f2fa7233465d8800be0497aa8a871ed



Una vez que el archivo está en ejecución, el malware realiza una copia de sí mismo con el nombre nvsvc32.exe y este crea las siguientes claves de registros haciendo alusión a la compañía NVIDIA (para evitar que el usuario las considere sospechosas):



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NVIDIA driver monitor: “c:\windows\nvsvc32.exe”

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\ NVIDIA driver monitor: “c:\windows\nvsvc32.exe”

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ NVIDIA driver monitor: “c:\windows\nvsvc32.exe”

Continuando con la infección, el malware se añade en la siguiente clave de registro, en la lista de excepciones del firewall de Windows:



HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List\ C:\Documents and Settings\Usuario\Escritorio\image96523489.exe: “c:\windows\nvsvc32.exe:*:Enabled:NVIDIA driver monitor”



Fijarse que la ruta donde se instala es en C:\windows\nvsvc32.exe, mientras que el driver de NVIDIA del mismo nombre suele instalarse en la carpeta de sistema, C:\windows\system32\nvsvc32.exe



Finalmente, como parte del proceso de infección, el malware inyecta código en otros procesos de Windows tales como:



iexplorer.exe

svchost.exe



De momento lo podemos ya detectar con el ELIMD5.EXE entrando su hash:



4f2fa7233465d8800be0497aa8a871ed



Interesa que si detectan este fichero nos envien muestra para analizar y controlar, gracias



saludos



ms, 27-12-2010

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
© 1998-2024 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto