NUEVO CAZAPASSWORD EN CAMPAÑA INFORMATIVA DEL RECIENTE ACCIDENTE DE AIRFRANCE
Fichero malware que crea en la carpeta de sistema : mcieplg.dll (igual nombre que el que usa el McAfee SiteAdvisor, pero en diferente carpeta).
WebSense nos ha informado de la siguiente alerta virica: http://securitylabs.websense.com/content/Alerts/3417.aspx
__________
Alerts
Threat Type: Malicious Web Site / Malicious Code
Websense Security Labs™ ThreatSeeker™ Network has detected a new malicious spam campaign pretending to deliver legitimate news updates about the Air France plane crash. The spam campaign is in Portuguese, and includes a link to view the first videos from the crash site.
The link to the video leads to a Trojan Downloader file named: Video_AirFrance_447.com. If a user runs the file, it downloads a malicious executable file masquerading as an image from [removed].org/imgs/like2.jpg. The malware registers a password-stealing BHO component on the system masquerading as a McAfee SiteAdvisor component with this GUID: {9387b8b2-5508-11de-8729-c56f55d89593}.
The GUID is linked to the malicious installed DLL file named mcieplg.dll under the system32 directory (%windir%\system32\mcieplg.dll). AV detection rates on this file are very low.
Screenshot of an example spam message:
http://securitylabs.websense.com/content/Assets/AlertMedia/Air_France_Plane_Crash_Spam.jpg
http://securitylabs.websense.com/content/Assets/AlertMedia/Air_France_Plane_Crash_Spam1.jpg
__________
Aun antes de buscar mas informacion sobre el particular, avisamos para que nadie “pique”…
Seguiremos informando en este mismo post
saludos
ms, 12-6-2009
Investigando al respecto hemos visto que este troyano instala una clave BHO con la class 9387B8B2-5508-11DE-8729-C56F55D89593 que lanza el fichero mcieplg.dll creado en la carpeta de sistema. Dicho fichero tiene el mismo nombre que uno del Site Advisor de McAfee de la carpeta correspondiente a dicha aplicacion, lo cual, junto con que enmascara la clave de lanzamiento poniendole el nombre de McAfee SiteAdvisor, puede despistar a los que lo analicen.
__________
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9387B8B2-5508-11DE-8729-C56F55D89593}\InProcServer32]
(Default) = “%System%\mcieplg.dll”
ThreadingModel = “Apartment”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9387B8B2-5508-11DE-8729-C56F55D89593}]
(Default) = “McAfee SiteAdvisor”
__________
A partir de la version de hoy del ELISTARA 18.81, se controlará dicha class y fichero.
ms.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.