Nuevo virus que se propaga a traves de la red social Facebook worm W32 / spaceform @ RS
Es un Gusano que se propaga por la red social Facebook, recopilando los datos de la cuenta de dicha red del usuario infectado para enviar mensajes en su nombre
Fecha de alta: 15/11/2010
Nombre completo del virus: Facebook worm W32 / spaceform @ RS
Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.
Plataformas afectadas: W32 Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95
Mecanismo principal de difusión: RS Red Social – Comunidad Virtual.
Capacidad de residencia permanente: Sí. Se ejecuta automáticamente en cada reinicio del sistema
Tamaño (bytes): 251.730
Propagación
Capacidad de autopropagación: Sí
Se propaga a través de : Red Social – Comunidad Virtual
Infección/Efectos
Cuando Spacefam se ejecuta, realiza las siguientes acciones:
Ficheros y carpetas
Crea los siguientes ficheros para monitorizar las nuevas ventanas que se abran en los navegadores Firefox e Internet Explorer para ejecutarse automáticamente cada vez que se reinicie el sistema para monitorizar las nuevas ventanas que se abran en los navegadores Firefox e Internet Explorer
“%Temp%\ [Caracteres aleatorios].exe”
“%Windir%\Temp\[Caracteres aleatorios 1].tmp”
“%Application Data%\ [Caracteres aleatorios 2].exe”
“%Windir%\\Tasks\fbagent.job”
“%Windir%\Temp\[Caracteres aleatorios 2].tmp”
“%Application Data%\ [Caracteres aleatorios 1].exe”
Otros detalles
El gusano está diseñado para robar información de acceso a la Red Social Facebook. Para ello, cuando se instala en el sistema, cierra todas las ventanas abiertas que hubiese en el navegador Internet Explorer o Firefox y elimina todas las cookies que hubiesen en el navegador, para forzar al usuario a que la siguiente vez que se conecte a la red social tenga que introducir sus datos de usuario y contraseña.
Una vez que ha recopilado dichos datos, se conecta a Facebook con las credenciales del usuario infectado y envía mensajes de SPAM en su nombre con alguno de los siguientes asuntos:
Hello I got you a surprise
My Dear Friend, you should look for
I have a surprise for you
Si un nuevo usuario pulsa alguno de estos mensajes, se descargará en su equipo el código malicioso con nombre “photo.exe”.
Debido a que el virus recopila información sensible como cuentas de usuario y contraseñas de acceso, se recomienda que cambie la contraseña de todas las cuentas a las que haya accedido recientemente.
Fuente
Comentarios
Tamaño: 251,730 bytes
Otros Alias:
Trojan-Dropper.Win32.FrauDrop.bhr – segun Kaspersky Lab
Generic.dx!uop – segun McAfee
MD5: 0x5CA1A5E2031F69B542164C9E85973664
SHA-1: 0x974539E6AFA1629F1FED164D0FBA70B9C0B2993A
Ya con el ELIMD5, entrandole cualquiera de loa hashes arriba indicados (por ejemplo 5CA1A5E2031F69B542164C9E85973664 ) , se detectará y moverá a C:\muestras dicho malware, el cual podrán enviarnos desde alli para su analisis, control y eliminacion.
saludos
ms, 16-11-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.