Nuevo malware cazapasswords “PWS-CuteMoon” controlado por McAfee a partir de DAT 5791
PWS-CuteMoon
Type Trojan
SubType Password Stealer
Discovery Date 11/02/2009
Length Varies
Minimum DAT 5791 (11/03/2009)
Updated DAT 5791 (11/03/2009)
Minimum Engine 5.3.00Description
Added 11/02/2009Description
Modified 11/02/2009 2:53 AM (PT)
Las caracteristicas especiales se mencionan en The New Moon Trojan
Aparte de la capacidad para recopilar información del sistema y robar información confidencial como nombres de usuario y contraseñas, la picaresca es ahora entregar la información robada para el sitio web remoto, utilizando un sistema de gestión de noticias de gran alcance sistema llamado “Cute News”.
En este caso el nombre del sitio web creado por los atacantes remotos para recoger credenciales robadas se disfraza bajo el mismo nombre de la película “New Moon”.
La infección se inicia al visualizar una imagen erótica con el propósito de distraer la atención del usuario mientras se activa el troyano. Mientras que el usuario mira la foto, el troyano comienza a cosechar datos de usuario, contraseñas, direcciones de correo electrónico y otros contenidos de los archivos de configuración de instalación de los clientes de correo electrónico Eudora, Thunderbird, Outlook, The Bat!, Clientes de FTP FileZilla, WS_FTP, CuteFTP, y otras aplicaciones.
El troyano recopila información del sistema que incluye nombres de las aplicaciones instaladas y sus versiones, los números de serie, nombres de usuario y equipo, los nombres de las aplicaciones en ejecución, configuración de la cuenta de correo electrónico del usuario, y algunos detalles del sistema.
La información recogida se codifica en formato Base64 y la publica en el servicio remoto de Cute News presidida por los atacantes en el http://www.newmoon-movie.net.
Añade estos ficheros:
•% Windir% \ exploree.exe
•% Windir% \ svcoost.exe
y añade estas líneas al fichero HOSTS:
•95.168.163.129 www.vkontakte.ru
•95.168.163.129 vkontakte.ru
•95.168.163.129 www.odnoklassniki.ru
•95.168.163.129 odnoklassniki.ru
A partir del ELISTARA 19.60 de hoy ya se pedirá muestra para analizar si se detectan dichos ficheros, además de aparcarlos a C:\muestras para que no se puedan poner en marcha a partir del proximo reinicio, y se eliminarán dichas lineas del HOSTS si existen.
Y a partir de los DAT 5791 de mañana lo controlará el VirusScan de McAfee
saludos
ms, 2-11-2009
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.