Nueva variante de PINKSLIPBOT que infecta pendrives en ficheros con icono de carpeta
Una nueva tecnica de ingenieria social, que hace “picar” al usuario al ver en el pendrive una carpeta desconocida, que realmente es un fichero, y al intentar abrirla lo que hace es ejecutar el fichero malware e infectar el ordenador !
En el ordenador se oculta bajo windows, realizando las siguientes acciones:
– Se autoborra
– Queda residente (2 procesos activos)
– Con tecnicas de RootKit
(bajo Windows oculta Procesos, Ficheros y Carpetas que en su nombre
contengan el nombre del fichero ejecutado, en el caso de la muestra, “asyjoci”. Pero son visibles bajo MSDOS y los Procesos se pueden detener con el SProces)
– Utiliza el “CMD.EXE” y el “PING.EXE”
(posiblemente para ver si hay conexión)
– Lanza el IEXPLORE.EXE en 2º Plano
File name: asyjoci.exe
Submission date: 2010-12-03 12:56:24 (UTC)
Current status: finished
Result: 21 /43 (48.8%)
VT Community
not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.12.03.04 2010.12.03 –
AntiVir 7.10.14.183 2010.12.03 TR/PSW.Qbot.aem.62
Antiy-AVL 2.0.3.7 2010.12.03 –
Avast 4.8.1351.0 2010.12.03 Win32:Qakbot-F
Avast5 5.0.677.0 2010.12.03 Win32:Qakbot-F
AVG 9.0.0.851 2010.12.03 Cryptic.BJM
BitDefender 7.2 2010.12.03 Gen:Variant.Kazy.644
CAT-QuickHeal 11.00 2010.12.03 –
ClamAV 0.96.4.0 2010.12.03 –
Command 5.2.11.5 2010.12.03 –
Comodo 6931 2010.12.02 –
DrWeb 5.0.2.03300 2010.12.03 –
Emsisoft 5.0.0.50 2010.12.03 Trojan.Win32.Oficla!IK
eSafe 7.0.17.0 2010.12.02 –
eTrust-Vet 36.1.8016 2010.12.03 Win32/Qakbot.FO
F-Prot 4.6.2.117 2010.12.02 –
F-Secure 9.0.16160.0 2010.12.03 Gen:Variant.Kazy.644
Fortinet 4.2.254.0 2010.12.03 –
GData 21 2010.12.03 Gen:Variant.Kazy.644
Ikarus T3.1.1.90.0 2010.12.03 Trojan.Win32.Oficla
Jiangmin 13.0.900 2010.12.03 –
K7AntiVirus 9.70.3146 2010.12.02 –
Kaspersky 7.0.0.125 2010.12.03 Trojan-PSW.Win32.Qbot.aem
McAfee 5.400.0.1158 2010.12.03 W32/Pinkslipbot.gen.w
McAfee-GW-Edition 2010.1C 2010.12.03 Artemis!2452B234663C
Microsoft 1.6402 2010.12.03 Backdoor:Win32/Qakbot.gen!A
NOD32 5670 2010.12.03 a variant of Win32/Kryptik.IOX
Norman 6.06.10 2010.12.03 –
nProtect 2010-12-03.01 2010.12.03 Gen:Variant.Kazy.644
Panda 10.0.2.7 2010.12.03 Trj/CI.A
PCTools 7.0.3.5 2010.12.03 –
Prevx 3.0 2010.12.03 Medium Risk Malware
Rising 22.76.03.04 2010.12.03 –
Sophos 4.60.0 2010.12.03 –
SUPERAntiSpyware 4.40.0.1006 2010.12.03 –
Symantec 20101.2.0.161 2010.12.03 Suspicious.Cloud
TheHacker 6.7.0.1.094 2010.12.01 –
TrendMicro 9.120.0.1004 2010.12.03 BKDR_QAKBOT.SME
TrendMicro-HouseCall 9.120.0.1004 2010.12.03 BKDR_QAKBOT.SME
VBA32 3.12.14.2 2010.12.03 –
VIPRE 7489 2010.12.03 –
ViRobot 2010.12.3.4183 2010.12.03 –
VirusBuster 13.6.71.0 2010.12.02 –
Additional informationShow all
MD5 : 2452b234663c7777da39062fd84fcb86
SHA1 : 1a8c65189bbe848c0fa7c7070e14a84784964590
File size : 57344 bytes
Lo controlamos a partir del ELISTARA 22.15
saludos
ms, 3-12-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.