Nuevo troyano WITHEWELL que guarda en el facebook datos del usuario infectado, aparte de descargar troyanos y ejecutarlos remotamente
Nuevo Troyano WhiteWell
Este nuevo troyano se controla desde ayer con DAT 5793, y consigue un acceso remoto al ordenador infectado, asi como poder ejecutar herramientas que el hacker ha descargado en dicho PC
Las caracteristicas generales se pueden ver en la descripción de McAfee http://vil.nai.com/vil/content/v_240489.htm
Basicamente se copia en la carpeta temporal de windows (Documents and settings\<usuario>\Local Settings\Temp\) con el nombre de SETUP.EXE
Se lanza en cada reinicio desde una clave RUN con valor MCAFEEIPS , lo cual puede despistar a los analizadores de los log…
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run
Key: “MCAFEEIPS”
Data: “%Temp%\setup.exe”
Una vez infectado, se conecta con www.m.facebook.com y se loga con los datos del atacante, captura datos del infectado y obtiene control remoto de dicha máquina y queda como backdoor residente ejecutando ficheros.
Puede llegar a través de IRC, peer-to-peer networks, email, newsgroups postings, etc.
Informamos a nivel de evitarlo o identificarlo, en cuyo caso enviarnos muestra para su analisis y control.
saludos
ms, 6-11-2009
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.