Nueva variante de malware que intenta infectar simulando ser un codec para visualizar “LOST” online.
El pasado 21 de Mayo se descubrió una nueva variante de Fake AV, “MySecurityEngine” descargada desde:
http://sterss<blocked>0mb.com/setup.zip
http://verno<blocked>0mb.com/setup.zip
http://juliedr<bloqueado>0mb.com/setup.zip
por lo que nos cuenta ADMIN de zonavirus.com en topic.php?f=12&t=32035
la “ingeniería social” ha hecho que ofrezcan dicho malware como codec del video ONLINE del último capitulo de LOST, serie de gran audiencia, para asi conseguir buen número de infectados
Las características de este malware son:
tool.info/fake-windows-security-center-alert/
y gracias a esta información , hemos podido pasar a controlar ya el malware operativo, a través de su MD5:
The size of malw_15.ex_ is 3261440 bytes and it comes with the MD5 67a790897462d3b238db34d53420f13a. Have a look at the following table that provides all the alias names of the analyzed threat.
Anti-virus vendor Alias name
a-squared
Trojan.Win32.Bredolab!IK
AhnLab-V3
Win-Trojan/Fakeav.3261440
AntiVir
TR/Fake.MySecurity.A
Avast
Win32:Adware-gen
Avast5
Win32:Adware-gen
AVG
Generic4.AEBV
BitDefender
Adware.Generic.125325
CAT-QuickHeal
Trojan.FakeAV.g
Comodo
Heur.Suspicious
eTrust-Vet
Win32/MySecurityEngine.A
F-Secure
Adware.Generic.125325
Fortinet
W32/Basine.C
GData
Adware.Generic.125325
Ikarus
Trojan.Win32.Bredolab
McAfee-GW-Edition
Artemis!67A790897462
Microsoft
Trojan:Win32/FakeVimes
NOD32
Win32/Adware.VirusAlarmPro
Panda
Adware/MySecurityEngine
PCTools
RogueAntiSpyware.VirusDoctor
Prevx
Low Risk Adware
Sophos
Mal/Basine-C
Sunbelt
Trojan.Win32.Generic.pak!cobra
Symantec
VirusDoctor
TrendMicro
TROJ_FAKEAV.EYZ
TrendMicro-HouseCall
TROJ_FAKEAV.EYZ
ViRobot
Spyware.FraudPack.Gen.3261440
VirusBuster
Trojan.MySecurity.A
Así que con nuestro ELIMD5.EXE entrando la cadena en cuestion: 67a790897462d3b238db34d53420f13a se detectará y se moverá a c:\muestras dicho fichero, con lo cual ya no se pondrá en marcha a partir del siguiente reinicio
Rogamos nos envien las muestras sospechosas movidas a C:\muestras a Mas información al respecto
Y visto que además de Fake AV lo consideran Bredolab, recordar que algunos Fakes son además downloaders, y el Bredolab es un downloader de narices…, muchos RootKits son descargados por los Bredolab, como algunos ZBOT !
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.