El ELISTARA 20.27 actual pasa a controlar nueva variante de BANKER/BANBRA con singular método de ocultamiento

Publicado el 5 febrero 2010 ¬ 20:01 pmh.mscComentarios desactivados en El ELISTARA 20.27 actual pasa a controlar nueva variante de BANKER/BANBRA con singular método de ocultamiento

Un nuevo troyano bancario de la familia BANLOAD / BANBRA ha hecho su aparicion con singulares métodos de infección y ocultamiento, ya que usan el nombre de ficheros típicos de sistema como SERVICES.EXE, JQS.EXE, SPOOLSV.EXE y con ello dificulta su deteccion al no distinguirlo facilmente analizando los log de analisis típicos del HJT o del SPROCES

El primero de los ficheros, SERVICES.EXE el sistema lo emplea desde la carpeta de sistema, mientras que este hace una copia sin extension y luego lo copia con el nombre de SPOOLSV.EXE lo cual se confunde con el mismo nombre del de sistema

Y eslanzado por el mismo sistema en el inicio, ejecutandose desde la carpeta temporal con nombre variable, como el que hemos examinado _DF22CBH.tmp empezando el proceso virico programado, con captura de passwords bancarios y envio de los mismos al autor del troyano.

Crea además el JQS.EXE que tambien tiene el sistema, y este ya es detectado actualmente por solo un 30 % de los antivirus:

File jqs received on 2010.02.05 13:16:43 (UTC)
Current status: finished

Result: 12/40 (30.00%)

File size: 239616 bytes
MD5   : 181c20a2575f89f21250a4a0d6de7d4a
SHA1  : 5c3df4be89b927af4bf8c0ac3a8afcf5ae1b5734
y tambien crea el SPOOLSV.EXE que pasa desapercibido por su nombre igual al del sistema…

Todo ello hecho con mucha picardía para pasar desapercibido ante los examinadores de los logs, hasta que hemos visto lo que hacía, el que se ejecutaba desde memoria temporal y tirando del hilo hemos llegado al ovillo 🙂

Hemos implementado en el ELISTARA 20.27 el control y eliminacion de estas nuevas peligrosas variantes, y que conviene eliminar en el caso de detectarlas, y cambiar cuentas bancarias o al menos los passwords aunque se haya eliminado, pues puede haber ya transmitido los datos bancarios !

ELISTARA-v20.27-( 5 de Febrero del 2010) (Muestras de (2)Spy.ZBot “TWEXT y SDRA64.EXE”, YahLover “SSCVIHOST.EXE”, Bredavi.APQ “TABJ.XEO”, Banbra.GD “JQS.EXE” y Spy.Banker.DYY “SERVICES.EXE“)

(Banbra.GD “JQS.EXE” y Spy.Banker.DYY “SERVICES.EXE”)

Ante la sospecha, aviso del banco o aparición de posible phishing pidiendo claves, probar el ELISTARA > 20.27 y ver el infosat.txt resultante.

saludos

ms, 5-2-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies