Nuevo virus que se propaga a traves de la red social Facebook worm W32 / spaceform @ RS

Es un Gusano que se propaga por la red social Facebook, recopilando los datos de la cuenta de dicha red del usuario infectado para enviar mensajes en su nombre

Fecha de alta: 15/11/2010

Nombre completo del virus: Facebook worm W32 / spaceform @ RS

Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.
Plataformas afectadas: W32 Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95
Mecanismo principal de difusión: RS Red Social – Comunidad Virtual.

Capacidad de residencia permanente: Sí. Se ejecuta automáticamente en cada reinicio del sistema

Tamaño (bytes): 251.730

Propagación
Capacidad de autopropagación: Sí

Se propaga a través de :  Red Social – Comunidad Virtual

Infección/Efectos
Cuando Spacefam se ejecuta, realiza las siguientes acciones:

Ficheros y carpetas
Crea los siguientes ficheros para monitorizar las nuevas ventanas que se abran en los navegadores Firefox e Internet Explorer para ejecutarse automáticamente cada vez que se reinicie el sistema para monitorizar las nuevas ventanas que se abran en los navegadores Firefox e Internet Explorer
“%Temp%\ [Caracteres aleatorios].exe”
“%Windir%\Temp\[Caracteres aleatorios 1].tmp”
“%Application Data%\ [Caracteres aleatorios 2].exe”
“%Windir%\\Tasks\fbagent.job”
“%Windir%\Temp\[Caracteres aleatorios 2].tmp”
“%Application Data%\ [Caracteres aleatorios 1].exe”
Otros detalles
El gusano está diseñado para robar información de acceso a la Red Social Facebook. Para ello, cuando se instala en el sistema, cierra todas las ventanas abiertas que hubiese en el navegador Internet Explorer o Firefox y elimina todas las cookies que hubiesen en el navegador, para forzar al usuario a que la siguiente vez que se conecte a la red social tenga que introducir sus datos de usuario y contraseña.

Una vez que ha recopilado dichos datos, se conecta a Facebook con las credenciales del usuario infectado y envía mensajes de SPAM en su nombre con alguno de los siguientes asuntos:

Hello I got you a surprise
My Dear Friend, you should look for
I have a surprise for you
Si un nuevo usuario pulsa alguno de estos mensajes, se descargará en su equipo el código malicioso con nombre “photo.exe”.
Debido a que el virus recopila información sensible como cuentas de usuario y contraseñas de acceso, se recomienda que cambie la contraseña de todas las cuentas a las que haya accedido recientemente.
 Fuente

Comentarios

Tamaño: 251,730 bytes

Otros Alias:
Trojan-Dropper.Win32.FrauDrop.bhr – segun Kaspersky Lab
Generic.dx!uop – segun McAfee

MD5: 0x5CA1A5E2031F69B542164C9E85973664
SHA-1: 0x974539E6AFA1629F1FED164D0FBA70B9C0B2993A

Ya con el ELIMD5, entrandole cualquiera de loa hashes arriba indicados (por ejemplo  5CA1A5E2031F69B542164C9E85973664 ) ,  se detectará y moverá a C:\muestras dicho malware, el cual podrán enviarnos desde alli para su analisis, control y eliminacion.

saludos

ms, 16-11-2010