
	nueva infección de rootkit zbot a través de un pdf que llega por mail
		descargas \| descargas ayer

zonavirus / noticias / nueva infección de rootkit zbot a través de un pdf que llega por mail

Nueva infección de RootKit ZBOT a través de un PDF que llega por mail

msc hotline sat

Thursday, April 15, 2010

Websense Security Labs ™ ha recibido varios informes de una campaña de propagación de una variante de Zbot a través de correo electrónico. Hasta ahora hemos visto sobre 2200 mails.

Este Zbot es un troyano que recopila datos confidenciales de cada equipo infectado para robarle la información. El principal vector de propagación de Zbot es una campaña de spam donde se engañó a los destinatarios en la apertura de los archivos adjuntos infectados en su equipo.

Esta nueva variante utiliza un archivo malintencionado de PDF que contiene la amenaza como un archivo incrustado. Cuando los destinatarios abren el PDF, se les pide guardar un archivo que se llama Royal_Mail_Delivery_Notice.pdf. El usuario asume, falsamente, que el archivo es sólo un PDF y, por lo tanto, seguro para almacenar en el equipo local. Sin embargo, el archivo, realmente es un ejecutable de Windows. El PDF malintencionado inicia el archivo interrumpido, tomando el control del equipo. En el momento de escribir este archivo tiene una tasa de detección de antivirus de solo 20% (SHA1: f1ff07104b7c6a08e06bededd57789e776098b1f).

La amenaza crea un subdirectorio dentro de la carpeta de sistema con el nombre "lowsec" y los archivos "local.ds" y "user.ds". Se trata de archivos de configuración para la amenaza. También se copia a sí mismo en la carpeta de sistema como "sdra64.exe" (como otros muchas variantes de ZBOT) y modifica la entrada del registro "%SOFTWARE%\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit" para ser lanzado durante los proximos reinicios del sistema. Cuando se ejecuta, inyecta el código malintencionado en el proceso del Winlogon.exe en memoria. Esta variante se conecta remotamente a un servidor de ZBOT en China utilizando una dirección IP de 59.44. . : 6010.

Captura de pantalla de mensaje de correo electrónico:

http://securitylabs.websense.com/content/Assets/AlertMedia/Zbot_in_PDF1.png" border="0" hspace="10" vspace="10"/>

Guarda el archivo incrustado malintencionado

http://securitylabs.websense.com/content/Assets/AlertMedia/Zbot_in_PDF2.png" border="0" hspace="10" vspace="10"/>

Adobe Acrobat Reader muestra una advertencia acerca de lanzar el archivo:

http://securitylabs.websense.com/content/Assets/AlertMedia/Zbot_in_PDF3.png" border="0" hspace="10" vspace="10"/>

El problema reside dentro del formato de archivo PDF, como originalmente publicado por en este blog post.

http://securitylabs.websense.com/content/Assets/AlertMedia/Zbot_in_PDF4.png" border="0" hspace="10" vspace="10"/>

=ttp%3A//securitylabs.websense.com/content/Alerts/3593.aspx?cmpid=slalert%5DFuente

Comentario:

Pues mucho cuidado con los PDFque se reciban sin pedilos, que los RootKits pasan facilmente desapercibidos al ocultar claves, procesoos y ficheros, y éste tiene captura de datos ...

saludos

ms, 15-4-2010

ANEXO :

Informe de VirusTotal al respecto

File sdra64.exe received on 2010.04.14 14:11:21 (UTC)

Current status: finished

Result: 8/40 (20.00%)

Compact Print results Antivirus Version Last Update Result

a-squared 4.5.0.50 2010.04.14 Trojan-Spy.Win32.Zbot!IK

AhnLab-V3 5.0.0.2 2010.04.13 -

AntiVir 7.10.6.76 2010.04.14 TR/Dropper.Gen

Antiy-AVL 2.0.3.7 2010.04.14 -

Authentium 5.2.0.5 2010.04.14 -

Avast 4.8.1351.0 2010.04.14 -

Avast5 5.0.332.0 2010.04.14 -

AVG 9.0.0.787 2010.04.14 -

BitDefender 7.2 2010.04.14 -

CAT-QuickHeal 10.00 2010.04.14 -

ClamAV 0.96.0.3-git 2010.04.14 -

Comodo 4596 2010.04.14 -

DrWeb 5.0.2.03300 2010.04.14 -

eSafe 7.0.17.0 2010.04.14 Win32.TRDropper

eTrust-Vet 35.2.7425 2010.04.14 -

F-Prot 4.5.1.85 2010.04.13 -

F-Secure 9.0.15370.0 2010.04.14 Suspicious:W32/Malware!Gemini

Fortinet 4.0.14.0 2010.04.12 -

GData 19 2010.04.14 -

Ikarus T3.1.1.80.0 2010.04.14 Trojan-Spy.Win32.Zbot

Jiangmin 13.0.900 2010.04.13 -

Kaspersky 7.0.0.125 2010.04.14 -

McAfee 5.400.0.1158 2010.04.14 -

McAfee-GW-Edition 6.8.5 2010.04.14 Trojan.Dropper.Gen

Microsoft 1.5605 2010.04.14 -

NOD32 5028 2010.04.14 -

Norman 6.04.11 2010.04.14 -

nProtect 2010-04-14.01 2010.04.14 -

Panda 10.0.2.7 2010.04.13 -

PCTools 7.0.3.5 2010.04.14 -

Prevx 3.0 2010.04.14 -

Rising 22.43.02.04 2010.04.14 -

Sophos 4.52.0 2010.04.14 Mal/Koobface-B

Sunbelt 6175 2010.04.14 -

Symantec 20091.2.0.41 2010.04.14 Trojan.Zbot

TheHacker 6.5.2.0.261 2010.04.14 -

TrendMicro 9.120.0.1004 2010.04.14 -

VBA32 3.12.12.4 2010.04.14 -

ViRobot 2010.4.14.2276 2010.04.14 -

VirusBuster 5.0.27.0 2010.04.13 -

Additional information

File size: 116224 bytes

MD5 : 59b2cf92212fb38cb713be38843de57e

SHA1 : f1ff07104b7c6a08e06bededd57789e776098b1f

ms.

RSS Noticias

RSS Articulos

RSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com

zonavirus / noticias / nueva infección de rootkit zbot a través de un pdf que llega por mail

Cual es mi ip publica

nueva infección de rootkit zbot a través de un pdf que llega por mail