Nuevo troyano Backdoor que recibe instrucciones desde Google Groups y que será controlado por McAfee desde DAT 5742 de hoy
Nos avisa McAfee de una nueva variante peligrosa, y apenas controlada actualmente, y que el VirusScan pasará a detectar con los DAT de hoy 5742
W32/GrupBot
Nuevo troyano Backdoor que se conecta a una cuenta de Google Groups desde la que recibe instrucciones remotas, que ejecuta en el ordenador víctima, tras lo cual envía el resultado a dicha cuenta.
El fichero donde reside es •mslogin.dll
y crea •%Directory%\tmw.dat , donde guarda los datos de su ejecución
y las claves que crea:
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyByPass
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
El troyano comprueba si es la primera vez que se ejecuta el ordenador, usando el rundll32.exe, y entonces intenta conectar con www.google.com/accounts/Login.
Una vez conectado, se presenta como “escape2sun” para recibir instrucciones remotas.
Sintomas: Presencia de nuevos ficheros (mslogin.dll , tmw.dat) y claves indicadas
Si alguien recibe o detecta tener dicho fichero mslogin.dll estos días en los que aun no es controlado, pedimos que nos envie una muestra para analizar y controlar, gracias
saludos
ms, 15-9-2009
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.