Nueva variante de malware que intenta infectar simulando ser un codec para visualizar “LOST” online.

Publicado el 23 mayo 2010 ¬ 21:08 pmh.mscComentarios desactivados en Nueva variante de malware que intenta infectar simulando ser un codec para visualizar “LOST” online.

El pasado 21 de Mayo se descubrió una nueva variante de Fake AV, “MySecurityEngine” descargada desde:

http://sterss<blocked>0mb.com/setup.zip
http://verno<blocked>0mb.com/setup.zip
http://juliedr<bloqueado>0mb.com/setup.zip

por lo que nos cuenta ADMIN de zonavirus.com en topic.php?f=12&t=32035
la “ingeniería social” ha hecho que ofrezcan dicho malware como codec del video ONLINE del último capitulo de LOST, serie de gran audiencia, para asi conseguir buen número de infectados

Las características de este malware son:
tool.info/fake-windows-security-center-alert/

y gracias a  esta información , hemos podido pasar a controlar ya el malware operativo, a través de su MD5:

The size of malw_15.ex_ is 3261440 bytes and it comes with the MD5 67a790897462d3b238db34d53420f13a. Have a look at the following table that provides all the alias names of the analyzed threat.

Anti-virus vendor Alias name
a-squared
 Trojan.Win32.Bredolab!IK
AhnLab-V3
 Win-Trojan/Fakeav.3261440
AntiVir
 TR/Fake.MySecurity.A
Avast
 Win32:Adware-gen
Avast5
 Win32:Adware-gen
AVG
 Generic4.AEBV
BitDefender
 Adware.Generic.125325
CAT-QuickHeal
 Trojan.FakeAV.g
Comodo
 Heur.Suspicious
eTrust-Vet
 Win32/MySecurityEngine.A
F-Secure
 Adware.Generic.125325
Fortinet
 W32/Basine.C
GData
 Adware.Generic.125325
Ikarus
 Trojan.Win32.Bredolab
McAfee-GW-Edition
 Artemis!67A790897462
Microsoft
 Trojan:Win32/FakeVimes
NOD32
 Win32/Adware.VirusAlarmPro
Panda
 Adware/MySecurityEngine
PCTools
 RogueAntiSpyware.VirusDoctor
Prevx
 Low Risk Adware
Sophos
 Mal/Basine-C
Sunbelt
 Trojan.Win32.Generic.pak!cobra
Symantec
 VirusDoctor
TrendMicro
 TROJ_FAKEAV.EYZ
TrendMicro-HouseCall
 TROJ_FAKEAV.EYZ
ViRobot
 Spyware.FraudPack.Gen.3261440
VirusBuster
 Trojan.MySecurity.A

Así que con nuestro ELIMD5.EXE entrando la cadena en cuestion: 67a790897462d3b238db34d53420f13a se detectará y se moverá a c:\muestras dicho fichero, con lo cual ya no se pondrá en marcha a partir del siguiente reinicio

 Rogamos nos envien las muestras sospechosas movidas a C:\muestras a Mas información al respecto

Y visto que además de Fake AV lo consideran Bredolab, recordar que algunos Fakes son además downloaders, y el Bredolab es un downloader de narices…, muchos RootKits son descargados por los Bredolab, como algunos ZBOT !

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies