Nuevo troyano SECUREBIND

SECUREBIND.EXE
Detectado como Trojan.Win32.VB.sac

Es un malware (troyano o BOT) que puede representar un riesgo de seguridad
que compromete al sistema y/o al entonrno de red

MODIFICACIONES EN FICHEROS:

Crea el siguiente fichero:

%System%\securebind.exe   de 93.726 bytes

MODIFICACIONES EN MEMORIA:

Crea nuevos procesos:

securebind.exe %System%\securebind.exe 372.736 bytes

MODIFICACIONES EN EL REGISTRO:
Crea las siguientes entradas en el Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Los nuevos valores que modifica son:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
MicrosoftCorp = “%System%\securebind.exe”

con lo que el securebind.exe es lanzado cada vez que arranca windows.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
MicrosoftNAPC = “%System%\securebind.exe”

con lo que logra que el securebind.exe es lanzado cada vez que arranca windows

Otros detalles:

Para señalar su presencia en el sistema, el siguiente Mutex es creado:

6d48xX92D

Y abre los siguientes ports en el sistema:

1033 TCP securebind.exe (%System%\securebind.exe)
1034 TCP securebind.exe (%System%\securebind.exe)
1041 TCP securebind.exe (%System%\securebind.exe)
1042 TCP securebind.exe (%System%\securebind.exe)
Y en el HOSTS invoca a esta base de Datos:

lolazo.sinip.es

Fuente

Para su detección y envio de muestras para analizar y controlar totalmente en nuestras utilidades, disponemos del los hashes a emplear indistintamente en el ELIMD5 :

MD5: 382DB96E1F5B85751AD6BEB6069F63CE
SHA-1: BA27E811A389259F5BCDF85B19DC8A9E73DAE430

Con ello se copiarán a C:\muestras y eliminarán de circulación si se marca la casilla al respecto.

saludos

ms, 2-7-2009