Nuevo cazapasswords bancario que se reproduce tras ser detectado y eliminado por los antivirus (alias LANDO)

Publicado el 22 marzo 2010 ¬ 18:34 pmh.mscComentarios desactivados en Nuevo cazapasswords bancario que se reproduce tras ser detectado y eliminado por los antivirus (alias LANDO)

Usando la librería de sistema WINMM.DLL el troyano PWS “Generic PWS.aq”. que puede tener cualquier extension, incluso .old, .bak, .dat ,  etc, hace su funcion de cazapasswords, pero lo especial en este caso es que traa detectarlo y eliminarlo, se regenera en 2 segundos…

En las pruebas que hemos hecho manualmente, ha sido imposible ser mas rápido que el malware, y hemos tenido que proceder a implementar el bloqueo de dicha regeneracion a partir de la version 20.58 de hoy de nuestra utilidad ELISTARA, si bien ello lo habremos de hacer tras conocer la variante en cuestion, no heuristicamente a priori al ser de nombre cambiante y no por usar la WINMM.DLL ha de ser troyano, ya que es del sistema…

Y para mas INRI, aunque el fichero no se replica, se instala en una clave no visible, con lo que no se sabe el nombre que utiliza el malware:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]
“midi9″=”%ruta%\\%nombre%.dll

El nombre con que lo detectan algunos antivirus es:

Trojan-PSW.Win32.Kates.ad (Kaspersky)
Generic PWS.aq            (McAfee)
Win32/Daonol.AK           (NOD32)
Trojan:Win32/Daonol.H     (Microsoft)
Trojan.AuxSpy.129         (DrWeb)
PSW.Generic7.AXVN         (AVG)

pero lo malo es que tras detectarlo y eliminarlo con cualquiera de ellos, se regenera casi instantaneamente…

No es el primero que se aprovecha del WinMM.DLL lanzado desde el Appinit y se regenera, lo cual es propio de los ficheros de sistema, pero malo es que lo utilice este malware, ya que dificulta su eliminacion y es un cazapasswords !!!

Y por si fuera poco, dicha clave y lanzamiento del malware se realiza igualmente arrancando en MODO SEGURO …

Una manera muy avanzada para lograr su proposito, y lo peor es que deja al usuario contento y engañado, ya que se piensa haberlo eliminado, pues asi lo dice el antivirus, pero tras ello se regenera y vuelve a hacer de las suyas !

Y como todos los cazapasswords tiene alto riesgo y aconsejamos se notifique al Banco o entidad de ahorros para que cambie numeros de cuenta, passwords y demás, y controle movimiento de caudales de las cuentas afectadas, pidiendo conformidad para transferencias o cambios de cierto riesgo…

Esperamos que sea la solucion ante esta picaresca tan singular como peligrosa, y que nos tememos que pueda ser el principio de una nueva gama de troyanos muy muy resistentes…

De momento, confirmamos que con el ELISTARA 20.58 DE HOY ELLO QUEDA SOLUCIONADO.

SALUDOS

ms, 22-3-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies