McAfee avisa urgente de nuevo troyano Downloader-BRM que se controlará con DATS 5664 de hoy
Características del nuevo troyano Downloader-BRM :
Tras su ejecución, el troyano crea y ejecuta en el inicio el siguiente fichero:
•%SysDir%\Documents and Settings\%USER%\Start Menu\Programs\Startup\rncsys32.exe
Y crea un fichero log al respecto en:
•%SysDir%\Documents and Settings\%USER%\Application Data\wiaserva.log
Y crea la siguiente clave de registro:
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
Y añade este valor en esta clave:
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers “C:\WINDOWS\explorer.exe”
Data: EnableNXShowUI
Y conecta con un servidor en •78.109.29.116 del que descarga un malware que desactivará antivirus, windowsupdate y cortafuegos
Sintomas:
Presencia de ficheros y claves de registro mencionadas
Presencia de conexión a la direccion indicada
Al no haber recibido aun ninguna muestra, implementamos en el ELISTARA la detección de las mismas pidiendo su envio para analizar y posterior control y eliminación en la siguiente versión.
saludos
ms, 2-7-2009
NOTA: Recibida paralelamente esta informacion al respecto:
http://securitylabs.websense.com/content/Alerts/3430.aspx
referente al mismo fichero rncsys32.exe , ofrecemos la posibilidda de controlarlo ya con el ELIMD5 a través de su hash: 24bd24f8673e3985fc82edb00b24ba73
ms.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.