Malware, scam, Facebook y Messenger… todo junto : Worm/Win32.Yahosmsc hotline sat Monday, December 27, 2010 Nuevamente podemos observar que la técnica de Ingeniería Social sigue siendo la manera preferida a la hora de infectar grandes cantidades de victimas. Se ha identificado una nueva amenaza de infección, la cual se está trasmitiendo por mensajería instantánea. En este caso es a través del mensajero Windows Live Messenger, aunque también utiliza la famosa red social Facebook con el objetivo de que a la víctima se le genere confianza al acceder a este sitio, para luego descargar el malware. El enlace nos lleva a una página oficial de Facebook, donde esta nos advierte que nos encontramos saliendo del dominio del mismo. Vale destacar que esto ocurre, tanto si el usuario está logado como si no… Posteriormente, se advierte sobre los peligros de seguridad del redireccionamiento. Si el usuario avanza, se llega a una página de un scam de Facebook, en el cual aparece una supuesta foto, y se ofrece la descarga de un archivo de nombre “image96523489?, el cual es detectado con el nombre de Worm/Win32.Yahos: File name: nvsvc32.exe Submission date: 2010-12-23 05:51:56 (UTC) Current status: finished Result: 27 /43 (62.8%) VT Community malware Safety score: 0.0% Compact Print results Antivirus Version Last Update Result AhnLab-V3 2010.12.23.01 2010.12.22 Worm/Win32.Yahos AntiVir 7.11.0.144 2010.12.22 TR/Agent.65024.47 Antiy-AVL 2.0.3.7 2010.12.23 Worm/Win32.Yahos.gen Avast 4.8.1351.0 2010.12.22 Win32:Malware-gen Avast5 5.0.677.0 2010.12.22 Win32:Malware-gen AVG 9.0.0.851 2010.12.23 Crypt.AEVO BitDefender 7.2 2010.12.23 Worm.FaceBlocker.B CAT-QuickHeal 11.00 2010.12.23 - ClamAV 0.96.4.0 2010.12.23 - Command 5.2.11.5 2010.12.23 - Comodo 7155 2010.12.22 P2PWorm.Win32.Palevo.GZA DrWeb 5.0.2.03300 2010.12.23 Trojan.Siggen2.12244 Emsisoft 5.1.0.1 2010.12.23 Win32.SuspectCrc!IK eSafe 7.0.17.0 2010.12.22 - eTrust-Vet 36.1.8055 2010.12.22 - F-Prot 4.6.2.117 2010.12.22 - F-Secure 9.0.16160.0 2010.12.23 Worm.FaceBlocker.B Fortinet 4.2.254.0 2010.12.21 - GData 21 2010.12.23 Worm.FaceBlocker.B Ikarus T3.1.1.90.0 2010.12.23 IM-Worm.Win32.Yahos Jiangmin 13.0.900 2010.12.22 - K7AntiVirus 9.74.3319 2010.12.22 - Kaspersky 7.0.0.125 2010.12.23 IM-Worm.Win32.Yahos.gc McAfee 5.400.0.1158 2010.12.23 Generic.dx!vgs McAfee-GW-Edition 2010.1C 2010.12.22 Generic.dx!vgs Microsoft 1.6402 2010.12.22 Worm:Win32/Slenfbot NOD32 5726 2010.12.22 Win32/Yimfoca.AA Norman 6.06.12 2010.12.23 - nProtect 2010-12-22.01 2010.12.22 - Panda 10.0.2.7 2010.12.22 Trj/CI.A PCTools 7.0.3.5 2010.12.23 Malware.Yimfoca Prevx 3.0 2010.12.23 - Rising 22.79.02.01 2010.12.23 Trojan.Win32.Generic.525303F9 Sophos 4.60.0 2010.12.23 Mal/Generic-L SUPERAntiSpyware 4.40.0.1006 2010.12.23 Trojan.Agent/Gen-FakeAlert Symantec 20101.3.0.103 2010.12.23 W32.Yimfoca TheHacker 6.7.0.1.104 2010.12.21 - TrendMicro 9.120.0.1004 2010.12.23 - TrendMicro-HouseCall 9.120.0.1004 2010.12.23 - VBA32 3.12.14.2 2010.12.21 Malware-Cryptor.Inject.gen VIPRE 7768 2010.12.23 Trojan.Win32.Generic.pak!cobra ViRobot 2010.12.23.4215 2010.12.23 Trojan.Win32.Agent.65024.BA VirusBuster 13.6.108.0 2010.12.22 - Additional informationShow all MD5 : 4f2fa7233465d8800be0497aa8a871ed SHA1 : ff4fabffd4389fec8b2897d84d8448f13aac9bbc File size : 65024 bytes Estos son los datos del archivo en cuestión: Nombre del archivo: image96523489 Tamaño del archivo: 65.024 bytes MD5: 4f2fa7233465d8800be0497aa8a871ed Una vez que el archivo está en ejecución, el malware realiza una copia de sí mismo con el nombre nvsvc32.exe y este crea las siguientes claves de registros haciendo alusión a la compañía NVIDIA (para evitar que el usuario las considere sospechosas): HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NVIDIA driver monitor: “c:\windows\nvsvc32.exe” HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\ NVIDIA driver monitor: “c:\windows\nvsvc32.exe” HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ NVIDIA driver monitor: “c:\windows\nvsvc32.exe” Continuando con la infección, el malware se añade en la siguiente clave de registro, en la lista de excepciones del firewall de Windows: HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List\ C:\Documents and Settings\Usuario\Escritorio\image96523489.exe: “c:\windows\nvsvc32.exe:*:Enabled:NVIDIA driver monitor” Fijarse que la ruta donde se instala es en C:\windows\nvsvc32.exe, mientras que el driver de NVIDIA del mismo nombre suele instalarse en la carpeta de sistema, C:\windows\system32\nvsvc32.exe Finalmente, como parte del proceso de infección, el malware inyecta código en otros procesos de Windows tales como: iexplorer.exe svchost.exe De momento lo podemos ya detectar con el ELIMD5.EXE entrando su hash: 4f2fa7233465d8800be0497aa8a871ed Interesa que si detectan este fichero nos envien muestra para analizar y controlar, gracias saludos ms, 27-12-2010 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |