PROLIFERACION DE ROOTKIT SPYZBOT AA QUE LLEGA EN FALSO MAIL DE TELEFONICAmsc hotline sat Tuesday, July 7, 2015 Como ya informabamos dias atras, está propagandose una nueva variante de SPYZBOT (cazapasswords bancario) que tiene funciones de keylogger y que oculta la clave de lanzamiento en el registro de sistema, aparte de crear fichero complementario que solo se borra con un formateo de la unidad donde se haya grabado en FAT32, como en los pendrives. Lo vamos controlando por cadenas de detección de los ficheros que nos van generando la monitorizacion de los ficheros anexados a los mails, pero si no se conoce la cadena de la variante de turno, pasa desapercibido. Una manera de identificarlo es por la doble extensión del ficheros en el ZIP en el que se recibe, lo cual ya es el usuario el que debe estar alerta y evitar ejecutar ficheros de dicho tipo, como : "facturas telefonicas 06.07.pdf_.exe" que es como llega en el ZIP anexado al mail en cuestion, que es de este tipo: MAIL MALICIOSO: ______________ Asunto: Factura sin Papel: Sus últimas facturas ya están disponibles De: Movistar < Estimado Cliente, Ya puede consultar sus facturas telefónicas de fecha 06/jul/2015 o descargarse los archivos pdf que le adjuntamos en esta comunicación y que contienen una hoja resumen de cada una de ellas. Le agradecemos su colaboración por utilizar el servicio eFactura. ATENCIÓN: Por favor, no responda a este mensaje, este buzón no es atendido. Si tiene alguna duda, estamos a su servicio en el apartado de Ayuda en movistar.es y en el 1489. Si desea actualizar la dirección de e-mail en la que recibe el aviso de disponibilidad de factura, acceda con sus claves de usuario al apartado Ayuda, Gestión de e-Factura. (*) Telefónica de España, S.A.U (en adelante "Movistar"), CIF A-82018474, Gran Ví?a 28, 28013 Madrid, garantiza que la dirección de email que usted nos ha facilitado es utilizada en la forma y con las limitaciones establecidas en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE). Adjunto: "facturas telefónicas 06.07.zip" -> "facturas telefonicas 06.07.pdf_.exe" _____________________ FIN DEL MAIL MALICIOSO Esta nueva variante ya la controlamos con el actual ELISTARA 32.64, siendo ya 20 los AV del virustotal que lo detectan, como se ve en el informe del preanalisis correspondiente: MD5 b4d59c5b53b931ff3b52992dfbb3daa5 SHA1 82d5ab7d9cf20bd9f44f4a6777475ff1d0f757c0 Tamaño del fichero 254.5 KB ( 260608 bytes ) SHA256: 61c4680a8f9dfb7eca46565fea499f8e890af8bb687832b5197b6da3545dc07c Nombre: facturas telefonicas 06.07.pdf_.exe Detecciones: 20 / 56 Fecha de análisis: 2015-07-07 06:50:41 UTC ( hace 20 minutos ) 0 1 Antivirus Resultado Actualización AVG Crypt4.BEWA 20150707 Ad-Aware Trojan.GenericKD.2542229 20150707 Arcabit Trojan.Generic.D26CA95 20150707 Avira TR/Agent.260608.39 20150707 Baidu-International Trojan.Win32.Inject.vcjl 20150706 BitDefender Trojan.GenericKD.2542229 20150707 ESET-NOD32 a variant of Win32/Kryptik.DOVS 20150707 Emsisoft Trojan.GenericKD.2542229 (B) 20150707 F-Secure Trojan.GenericKD.2542229 20150707 Fortinet W32/Inject.VCJL!tr 20150707 Ikarus Win32.Outbreak 20150707 Kaspersky Trojan.Win32.Inject.vcjl 20150707 MicroWorld-eScan Trojan.GenericKD.2542229 20150707 Microsoft PWS:Win32/Zbot 20150707 Panda Trj/Chgt.O 20150706 Qihoo-360 HEUR/QVM20.1.Malware.Gen 20150707 Sophos Troj/Agent-ANYI 20150707 Symantec Infostealer.Limitail 20150707 TrendMicro TROJ_KRYPTIK.XXTXJ 20150707 TrendMicro-HouseCall TROJ_KRYPTIK.XXTXJ 20150707 Al enviarles a McAfee la muestra para que lo controlen en su proxima version, nos indican que za lo controlan heuristicamente por la doble extension utilizada, lo cual confirma la complejidad de dicho engendro, y que aparte de lo indicado, se podrá controlar una vez recibida la muestra sospechosa enviada por usuarios expertos que hayan visto la doble extension en cuestion Iremos controlando las nuevas variantes de este tipo con las continuas versiones que vayamos haciendo del ELISTARA, a medida de que vayamos recibiendo de nuestros usuarios ficheros sospechoso que resulten ser maliciosos. De momento los que hemos recibido al respecto ya están controlados con la actual version del ELISTARA 32.64 saludos ms, 7/7/2015 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |