NUEVA VARIANTE DE KEYLOGGER BLADABINDI, QUE SE PROPAGA POR PENDRIVEmsc hotline sat Friday, May 22, 2015 Una nueva variante de este conocido keylogger, aparte de quedar residente y generar un informe de todo lo tecleado (anulando acentos), infecta pendrives ocultando sus ficheros con atributo +H y generando links con el mismo nombre de los ficheros ocultados, direccionando a la ejecucion de dicho malware. Aparte de ello, crea un fichero con icono de una chica en la playa, cuya ejecución, mientras visualiza dicha imagen, instala otra variante del keylogger oculto en un fichero con caracteres Unicode en el nombre, de manera que en la carpeta de Mis Documentos aparece un fichero SCR que el usuario ve como JPG, al invertir los tres ultimos caracteres y colocarlos en lugar de la extension: %Mis Documentos%\ sarahsoso?gpj.Scr de forma que el usuario ve, con icono de un corazon, el siguiente fichero: http://www.satinfo.es/blog/wp-content/uploads/2015/05/bladabindi-unicode.jpg imagen bladabindi unicode.jpg cuya ejecucion visualiza la indicada imagen de una chica en la playa y lanza el Bladabindi: http://www.satinfo.es/blog/wp-content/uploads/2015/05/Imagen1.jpg imagen "chica en la playa".jpg que presenta el keylogger Bladabindi Total, que de una forma muy facil nos pueden instalar un keylogger que propague todo lo que escribamos sin enterarnos ! A partir de la version del ELISTARA 32.35 de hoy pasamos a controlar el malware en cuestion, recordando que quien lo detecte en el ordenador, debe tambien eliminarlo de los pendrives, y viceversa. El preanalisis de virustotal del fichero con icono del corazon, presenta el siguiente informe: SHA256: 8fd23ded51761089877a73201811a157ed2cc2ffab5b83e3c382321e76765208 File name: sarahsoso?gpj.Scr Detection ratio: 25 / 57 Analysis date: 2015-05-22 10:00:38 UTC ( 3 minutes ago ) 0 1 Antivirus Result Update TotalDefense Win32/DotNetBinder.A!generic 20150521 DrWeb Win32.HLLW.Autoruner.25074 20150522 Comodo TrojWare.MSIL.Binder.BCA 20150522 Jiangmin Trojan/JboxGeneric.kgo 20150519 Baidu-International Trojan.MSIL.Binder.CZ 20150522 Ikarus Trojan-Dropper.MSIL 20150522 Sophos Troj/dnsauce-B 20150522 Rising PE:Trojan.MSIL.Runp!1.9DFA 20150521 Avast MSIL:Bladabindi-IG 20150522 Fortinet MSIL/Dropper_Binder.BS!tr 20150522 Kaspersky HEUR:Trojan.Win32.Generic 20150522 Qihoo-360 HEUR/QVM03.0.Malware.Gen 20150522 Emsisoft Gen:Variant.MSILKrypt.6 (B) 20150522 ALYac Gen:Variant.MSILKrypt.6 20150522 Ad-Aware Gen:Variant.MSILKrypt.6 20150522 BitDefender Gen:Variant.MSILKrypt.6 20150522 F-Secure Gen:Variant.MSILKrypt.6 20150522 GData Gen:Variant.MSILKrypt.6 20150522 MicroWorld-eScan Gen:Variant.MSILKrypt.6 20150522 AVG Dropper.Msil.CN 20150522 Avira BDS/Bladabindi.ajoqj 20150522 Malwarebytes Backdoor.Bot.MSIL 20150522 McAfee BackDoor-FBHS!FB9B3BD7F582 20150522 McAfee-GW-Edition BackDoor-FBHS!FB9B3BD7F582 20150522 ESET-NOD32 a variant of MSIL/TrojanDropper.Binder.CZ 20150522 y el fichero que lo instala y descarga el anterior, llega con el nombre de Crome.exe: MD5 a0c9becfa66600d9d110096ce830e6c5 SHA1 6afc418e6ccbe108de6a9896435e608e57162752 File size 116.0 KB ( 118784 bytes ) SHA256: abf1fd5c63add9ee077fe9123ba9cd341c4fe060fa045e8f3460e091855db599 File name: Crome.exe Detection ratio: 23 / 57 Analysis date: 2015-05-22 10:23:56 UTC ( 2 minutes ago ) 0 1 Antivirus Result Update ALYac Gen:Heur.MSIL.Androm.3 20150522 AVG ILCrypt 20150522 Ad-Aware Gen:Heur.MSIL.Androm.3 20150522 Avast MSIL:Bladabindi-IG 20150522 Avira TR/Keylogger.AY 20150522 BitDefender Gen:Heur.MSIL.Androm.3 20150522 Comodo TrojWare.MSIL.Kryptik.AD 20150522 DrWeb Trojan.MulDrop3.62686 20150522 ESET-NOD32 a variant of MSIL/Kryptik.PM 20150522 Emsisoft Gen:Heur.MSIL.Androm.3 (B) 20150522 F-Secure Gen:Heur.MSIL.Androm.3 20150522 Fortinet MSIL/Dropper.PM!tr 20150522 GData Gen:Heur.MSIL.Androm.3 20150522 Ikarus Trojan.MSIL.Crypt 20150522 Jiangmin Trojan/Generic.btxvq 20150519 K7AntiVirus Trojan ( 700000121 ) 20150522 K7GW Trojan ( 700000121 ) 20150522 Kaspersky HEUR:Trojan.Win32.Generic 20150522 Malwarebytes Trojan.MSIL 20150522 McAfee Trojan-FDLZ!A0C9BECFA666 20150522 McAfee-GW-Edition Trojan-FDLZ!A0C9BECFA666 20150522 MicroWorld-eScan Gen:Heur.MSIL.Androm.3 20150522 NANO-Antivirus Trojan.Win32.MulDrop3.cwbgey 20150522 Dicha version del ELISTARA 32.35 que los detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy saludos ms, 22-5-2015 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |