Nuevo malware cazapasswords “PWS-CuteMoon” controlado por McAfee a partir de DAT 5791

Publicado el 2 noviembre 2009 ¬ 18:30 pmh.mscComentarios desactivados en Nuevo malware cazapasswords “PWS-CuteMoon” controlado por McAfee a partir de DAT 5791

PWS-CuteMoon

Type Trojan

SubType Password Stealer

Discovery Date 11/02/2009

Length Varies

Minimum DAT 5791 (11/03/2009)

Updated DAT 5791 (11/03/2009)

Minimum Engine 5.3.00Description

Added 11/02/2009Description

Modified 11/02/2009 2:53 AM (PT)
Las caracteristicas especiales se mencionan en  The New Moon Trojan

Aparte de la capacidad para recopilar información del sistema y robar información confidencial como nombres de usuario y contraseñas, la picaresca es ahora  entregar la información robada para el sitio web remoto, utilizando un sistema de gestión de noticias de gran alcance sistema llamado “Cute News”.

En este caso el nombre del sitio web creado por los atacantes remotos para recoger credenciales robadas se disfraza bajo el mismo nombre de la película “New Moon”.

La infección se inicia al visualizar una imagen erótica con el propósito de distraer la atención del usuario mientras se activa el troyano. Mientras que el usuario mira la foto, el troyano comienza a cosechar datos de usuario, contraseñas, direcciones de correo electrónico y otros contenidos de los archivos de configuración de instalación de los clientes de correo electrónico Eudora, Thunderbird, Outlook, The Bat!, Clientes de FTP FileZilla, WS_FTP, CuteFTP, y otras aplicaciones.

El troyano recopila información del sistema que incluye nombres de las aplicaciones instaladas y sus versiones, los números de serie, nombres de usuario y equipo, los nombres de las aplicaciones en ejecución, configuración de la cuenta de correo electrónico del usuario, y algunos detalles del sistema.

La información recogida se codifica en formato Base64 y la publica en el servicio remoto de Cute News presidida por los atacantes en el http://www.newmoon-movie.net.
Añade estos ficheros:

•% Windir% \ exploree.exe
•% Windir% \ svcoost.exe
y añade estas líneas al fichero HOSTS:

•95.168.163.129 www.vkontakte.ru
•95.168.163.129 vkontakte.ru
•95.168.163.129 www.odnoklassniki.ru
•95.168.163.129 odnoklassniki.ru

A partir del ELISTARA 19.60 de hoy ya se pedirá muestra para analizar si se detectan dichos ficheros, además de aparcarlos a C:\muestras para que no se puedan poner en marcha a partir del proximo reinicio, y se eliminarán dichas lineas del HOSTS si existen.

Y a partir de los DAT 5791 de mañana lo controlará el VirusScan de McAfee

saludos

ms, 2-11-2009

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies