Nuevo keylogger Trojan.W32/Soglueda.A (segun McAfee Generic PWS.y!cth y segun Kaspersky Trojan-Spy.Win32.Agent.bhfq) que se transmite via USB e ingresa simplemente por visitar webs infectadas

Publicado el 28 noviembre 2010 ¬ 20:56 pmh.mscComentarios desactivados en Nuevo keylogger Trojan.W32/Soglueda.A (segun McAfee Generic PWS.y!cth y segun Kaspersky Trojan-Spy.Win32.Agent.bhfq) que se transmite via USB e ingresa simplemente por visitar webs infectadas

Troyano para sistemas Windows que registra las pulsaciones de teclado y las envía a un servidor remoto. Modifica el icono asignado por defecto a los archivos ejecutables para camuflarlos como ficheros de tipo documento.

 Es un peligroso keylogger cambia los ficheros de sistema DLLRUN.EXE y SERVICES.EXE, y crea en la carpeta de sistema un nuevo fichero de nombre WINM.DLL

USB
Se propaga por USB creando en las unidades extraibles el fichero dllrun.exe.

Otro mecanismo de propagación
Puede ser descargado por otro código malicioso o descargado sin el conocimiento del usuario al visitar una página Web infectada.

 También podría ser descargado de algún programa de compartición de ficheros (P2P).
 Infección/Efectos
Cuando Soglueda.A se ejecuta, realiza las siguientes acciones:

Ficheros y carpetas
1.Guarda las siguientes copias de sí mismo Reemplaza el fichero original del sistema
“%Drive%\dllrun.exe”
“%System%\services.exe”
2.Crea el siguiente fichero
“%System%\winm.dll”
Claves y entradas del registro
1.Modifica la clave del registro
 Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  Valor: (default) =
Modifica la clave del registro
 Clave: HKLM\SOFTWARE\Classes\.exe  Valor: (default) = exefile
Modifica la clave del registro
 Clave: HKLM\SOFTWARE\Classes\exefile \DefaultIcon  Valor: (default) = shell32.dll,2
Modifica la clave del registro
 Clave: HKLM\SOFTWARE\Classes\exefile  Valor: (default) = aplicación
Resto de acciones
1.Se conecta a las siguientes direcciones de Internet
winupdate32.sy***s.net
174.36.***.138
servers.azna***spinosa.com.ar
nico.azna***spinosa.com.ar
muler.ag***ing.com.ar
f.azna***spinosa.com.ar
winupdate32.sy***s.net
174.36.***.138
servers.azna***spinosa.com.ar
nico.azna***spinosa.com.ar
muler.ag***ing.com.ar
f.azna***spinosa.com.ar
winupdate32.sy***s.net
174.36.***.138
servers.azna***spinosa.com.ar
nico.azna***spinosa.com.ar
muler.ag***ing.com.ar
f.azna***spinosa.com.ar
winupdate32.sy***s.net
174.36.***.138
servers.azna***spinosa.com.ar
nico.azna***spinosa.com.ar
muler.ag***ing.com.ar
f.azna***spinosa.com.ar
winupdate32.sy***s.net
174.36.***.138
servers.azna***spinosa.com.ar
nico.azna***spinosa.com.ar
muler.ag***ing.com.ar
f.azna***spinosa.com.ar
winupdate32.sy***s.net
174.36.***.138
servers.azna***spinosa.com.ar
nico.azna***spinosa.com.ar
muler.ag***ing.com.ar
f.azna***spinosa.com.ar
 Fuente

la información que tenemos al respecto de uno de sus ficheros es:

File name: services.exe
Submission date: 2010-10-15 06:52:28 (UTC)
Current status: finished
Result: 37 /43 (86.0%)
 VT Community

not reviewed
 Safety score: – 
Compact Print results

There is a more up-to-date report (37/43) for this file.

Antivirus Version Last Update Result
AhnLab-V3 2010.10.15.00 2010.10.15 Win-Trojan/Securisk
AntiVir 7.10.12.223 2010.10.14 TR/Spy.Gen
Antiy-AVL 2.0.3.7 2010.10.15 Trojan/Win32.KeyLogger.gen
Authentium 5.2.0.5 2010.10.15 W32/MalwareF.DALV
Avast 4.8.1351.0 2010.10.14 Win32:Dropper-DIO
Avast5 5.0.594.0 2010.10.14 Win32:Dropper-DIO
AVG 9.0.0.851 2010.10.14 PSW.Agent.AGYU
BitDefender 7.2 2010.10.15 Gen:Trojan.Heur.Fm3@snVs5iSaZ
CAT-QuickHeal 11.00 2010.10.15 TrojanSpy.Agent.bhfq
ClamAV 0.96.2.0-git 2010.10.15 Trojan.VB-9344
Comodo 6396 2010.10.15 Heur.Suspicious
DrWeb 5.0.2.03300 2010.10.15 –
Emsisoft 5.0.0.50 2010.10.15 Gen.Trojan!IK
eSafe 7.0.17.0 2010.10.14 Win32.TRSpy
eTrust-Vet 36.1.7912 2010.10.14 –
F-Prot 4.6.2.117 2010.10.14 W32/MalwareF.DALV
F-Secure 9.0.16160.0 2010.10.15 Gen:Trojan.Heur.Fm3@snVs5iSaZ
Fortinet 4.2.249.0 2010.10.14 –
GData 21 2010.10.15 Gen:Trojan.Heur.Fm3@snVs5iSaZ
Ikarus T3.1.1.90.0 2010.10.15 Gen.Trojan
Jiangmin 13.0.900 2010.10.15 TrojanSpy.Agent.qlv
K7AntiVirus 9.65.2751 2010.10.14 Spyware
Kaspersky 7.0.0.125 2010.10.15 Trojan-Spy.Win32.Agent.bhfq
McAfee 5.400.0.1158 2010.10.15 Generic PWS.y!cth
McAfee-GW-Edition 2010.1C 2010.10.14 Generic PWS.y!cth
Microsoft 1.6201 2010.10.15 Worm:Win32/Soglueda.A
NOD32 5532 2010.10.14 Win32/AutoRun.Spy.KeyLogger.D
Norman 6.06.07 2010.10.14 W32/Suspicious_Gen2.BDUBV
nProtect 2010-10-14.01 2010.10.14 Trojan-Spy/W32.Agent.518022
Panda 10.0.2.7 2010.10.14 Suspicious file
PCTools 7.0.3.5 2010.10.15 Trojan.ADH
Prevx 3.0 2010.10.15 –
Rising 22.69.04.03 2010.10.15 –
Sophos 4.58.0 2010.10.15 Mal/Generic-L
Sunbelt 7063 2010.10.15 Trojan.Win32.Generic!SB.0
SUPERAntiSpyware 4.40.0.1006 2010.10.15 Trojan.Agent/Gen
Symantec 20101.2.0.161 2010.10.15 Trojan.ADH
TheHacker 6.7.0.1.057 2010.10.14 Trojan/Spy.Agent.bhfq
TrendMicro 9.120.0.1004 2010.10.15 WORM_VB.IWL
TrendMicro-HouseCall 9.120.0.1004 2010.10.15 WORM_VB.IWL
VBA32 3.12.14.1 2010.10.14 Trojan-Spy.Win32.Agent.bhfq
ViRobot 2010.9.25.4060 2010.10.15 –
VirusBuster 12.68.3.0 2010.10.14 TrojanSpy.Agent.YLVL
Additional informationShow all 
MD5   : ee7436ff9c49e7a1c454f3f41dd67c1d
SHA1  : 65c66a395798c154cb85bb021d58acaf807dfa83

File size : 518022 bytes

publisher….: Microsoft Corporation
copyright….: Copyright (C) Microsoft Corporation. Reservados todos los derechos.
product……: Sistema operativo Microsoft_ Windows_
description..: Aplicaci_n de servicios y controlador
original name: winexec.exe
internal name: winexec
file version.: 5.01.2600
 
Por lo que vemos que en propiedades aparenta ser un fichero de Microsoft y a pesar que lo controlan ya muchos antivirus, ante la peligrosidad de que es un keylogger que se pueda ingresar simplemente por entrar en determinadas webs infectadas, y que envia los datos capturados de lo que se entra en el teclado, a una web de IP 174.36.***.138, se avisa, y cuidado que puede transmitirse tambien por P2P y a través de pendrive !

De momento, sin muestras al respecto, se puede detectar con el ELIMD5 entrando cualquiera de los dos hashes indicados al final del informe de VirusTotal, por ejemplo ee7436ff9c49e7a1c454f3f41dd67c1d

Si se detecta, conviene enviar muestra para analizar y pensar que hay otros dos que le acompañan, pero que ya controlaríamos a partir de la muestra.

Mucho cuidado con los keyloggers, cazapasswords y PWS en general, que son  malos compañeros !

saludos

ms, 28-11-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies