Nuevo troyano SECUREBIND
SECUREBIND.EXE
Detectado como Trojan.Win32.VB.sac
Es un malware (troyano o BOT) que puede representar un riesgo de seguridad
que compromete al sistema y/o al entonrno de red
MODIFICACIONES EN FICHEROS:
Crea el siguiente fichero:
%System%\securebind.exe de 93.726 bytes
MODIFICACIONES EN MEMORIA:
Crea nuevos procesos:
securebind.exe %System%\securebind.exe 372.736 bytes
MODIFICACIONES EN EL REGISTRO:
Crea las siguientes entradas en el Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Los nuevos valores que modifica son:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
MicrosoftCorp = “%System%\securebind.exe”
con lo que el securebind.exe es lanzado cada vez que arranca windows.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
MicrosoftNAPC = “%System%\securebind.exe”
con lo que logra que el securebind.exe es lanzado cada vez que arranca windows
Otros detalles:
Para señalar su presencia en el sistema, el siguiente Mutex es creado:
6d48xX92D
Y abre los siguientes ports en el sistema:
1033 TCP securebind.exe (%System%\securebind.exe)
1034 TCP securebind.exe (%System%\securebind.exe)
1041 TCP securebind.exe (%System%\securebind.exe)
1042 TCP securebind.exe (%System%\securebind.exe)
Y en el HOSTS invoca a esta base de Datos:
lolazo.sinip.es
Para su detección y envio de muestras para analizar y controlar totalmente en nuestras utilidades, disponemos del los hashes a emplear indistintamente en el ELIMD5 :
MD5: 382DB96E1F5B85751AD6BEB6069F63CE
SHA-1: BA27E811A389259F5BCDF85B19DC8A9E73DAE430
Con ello se copiarán a C:\muestras y eliminarán de circulación si se marca la casilla al respecto.
saludos
ms, 2-7-2009
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.