OTRO FALSO MAIL DE MOVISTAR PIDIENDO ENVIO DE DATOS, CON ANEXADO DE ROOTKIT SPYZBOT AAmsc hotline sat Thursday, July 30, 2015 Con una imagen de un mail de MOVISTAR (Falso) llega adjunto un fichero con ROOTKIT SPYZBOT AA de cuyas características informamos tras la imagen de como llega dicho spam: http://www.satinfo.es/blog/wp-content/uploads/2015/07/spam-movistar-30-7-2015.jpg OTRO FALSO MAIL DE MOVISTAR PIDIENDO ENVIO DE DATOS, CON ANEXADO DE ROOTKIT SPYZBOT AA Al ejecutar el fichero adjunto se instala en el ordenador un sofisticado rootkit SPY ZBOT AA, del que ya conocíamos una versión anterior, que cuando está en uso se oculta y dificulta su detección y eliminación, delatándose por la aparición de dobles acentos, cuando se acentúa un texto, lo cual solo ocurre el idiomas como el nuestro que hay carácteres acentuados, no siendo el caso del inglés por ejemplo. AL instalarse en el ordenador, coge el nombre de un fichero existente y se copia en una carpeta de nombre normal, lo cual hace mas dificil la localización visual, pero lo que es peor es que, si se detecta y elimina en modo normal, reaparece en el siguiente reinicio, por lo cual conviene efectuar el analisis y limpieza ARRANCANDO EN MODO SEGURO, con lo cual a partir del ELISTARA 23.82 se detecta y elimina sin problemas, pero no asi en modo normal... El preanalisis de virus total ofrece el siguiente informe: MD5 607a01017898dd20f11fdc8e2bbee48b SHA1 9fe7de6077d10e026eb3160b596549d20b5534a0 File size 268.4 KB ( 274848 bytes ) SHA256: f875cde8605a3e207e3b1a9d8c852bd10c868a74a00e54290590af8122864998 File name: formulario 30 julio 2015.PDF.doß.exe Detection ratio: 4 / 56 Analysis date: 2015-07-30 09:33:44 UTC ( 2 minutes ago ) 0 1 Antivirus Result Update Kaspersky UDS:DangerousObject.Multi.Generic 20150730 Qihoo-360 HEUR/QVM20.1.Malware.Gen 20150730 Rising PE:Malware.Obscure/Heur!1.9E03 20150728 Symantec Suspicious.Cloud.5 20150730 Como ya han visto algunos de los usuarios que nos han llamado al respecto, el fichero resultante de desempaquetar el anexo, tiene doble extension: File name: formulario 30 julio 2015.PDF.doß.exe para despistar, aparentando ser un PDF cuando realmente es un EXE ... Como se ve, McAfee aun no lo detecta, por lo que ya le hemos enviado muestra para que añadan su control y eliminación en la próxima versión del VirusScan Dicha versión del ELISTARA 32.82 que lo detecta y elimina (EN MODO SEGURO) estará disponible en nuestra web a partir de las 15 h CEST de hoy saludos ms, 30-7-2015 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |