Nueva variante de Bredavi que llega por mail con ASUNTO : La respuesta!

Publicado el 9 febrero 2010 ¬ 18:13 pmh.mscComentarios desactivados en Nueva variante de Bredavi que llega por mail con ASUNTO : La respuesta!

Un nuevo virus se está propagando por e-mail y apenas es controlado, si bien el VirusScan de McAfee 8.7 SP2 lo detecta heurísticamente, siempre y cuando se tenga configurado nivel de seguridad medio-alto

El fichero ZIP que adjunta dicho mail, lleva un fichero .EXE que aparenta ser de otra extensión XLS inocente, seguido de muchos espacios y al final .EXE, y siempre es la última extensión la que vale, lo demas forma parte del nombre del fichero.

El mail que llega reza así:
ASUNTO: La respuesta!
TEXTO : Le envio el calculo de marketing que esta en el archivo adjunto.
Si Usted esta satisfecho, le podemos proporcionar servicios de evaluacion
financiera mas detallada. Los resultados de su solicitud de prueba para
una evaluacion de la comercializacion de las estimaciones
estadisticas de la demanda de sus servicios estan detallados
en el archivo adjunto.

P.S. Información – Esta es el arma perfecta de nuestra época “(c) Sir Winston Leonard Spencer Churchill
ADJUNTO: Resultados2.zip

Fichero desempaquetado :  Resultados15.XLS___________________…____________________.EXE
Analizado dicho fichero resulta ser una variante de la familia Bredavi, igual que los otros que ya conocemos que venían con falso remitente de UPS, DHL, Western Union, etc
A partir del ELISTARA 20.19 de hoy pasamos a controlar tanto el dropper que llega en el ZIP como la DLL que genera, siendo esta copiada y lanzada desde el registro desde un RUNDLL32 atacando al fichero que tiene extensión rara, y que llama a la función en cuestion.

En este caso el nombre del fichero es lfrt.njo  y la función que llama es la tercera de las 5 que tiene:

  1.- DllMain()
  2.- acejr()
  3.- gxsgk()
  4.- kbxcc()
  5.- quuapoi()

El fichero e cuestión se copia en la carpeta de sistema y tiene estas características:

Nombre: lfrt.njo
File size: 22528 bytes
MD5…: 9fec028b3bda049341646df779baa4f4
SHA1..: 1ed4ecbd87f9553430b298e6261e7b5f40234db6
y el EXE que resulta de desempaquetar el ZIP es:

Nombre: Resultados15.xls____…_____.exe
File size: 28160 bytes
MD5   : 3f339c9e542c74a3d6231930497cf8b9
SHA1  : 17f7217443540f702ec5ce0dd1b7ca933092c36c
Evidentemente no debe eliminarse la clave de registro que lo lanza, ya que de hacerlo, no se lanzaría el entorno gráfico de windows (EXPLORER.EXE),  sino restaurarla.

Con el ELISTARA se restauraran las claves modificadas por dicho malware, y se eliminan los ficheros creados.

Se avisa con este artículo para evitar en lo posible la intrusión de dicho malware.

saludos

ms, 9-2-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies