Nuevo dropper Genérico GENERIC DROPPER RN (Genera Fake AV y PWS)
Un nuevo dropper ha ha pasado a ser controlado por el VirusScan de McAfee desde los DAT 5923 (17/3/2010)
Los dropper son archivos que contienen los binarios de otros dentro de su cuerpo. Actúan como un archivo autoextraíble ZIP – teniendo los archivos almacenados en el interior para luego instalarlos en la máquina afectada.
Los malwares que puede contener un dropper pueden ser de cualquier tipo, downloaders, backdoors, etc
Con los DAT 5923 de hoy se controla la nueva variante GENERIC DROPPER RN cuya ejecucion genera dos ficheros:
* %WinDir%\mssrvc\svchost.exe
* %WinDir%\system32\mssrv32.exe
que corresponden a un Fake AV y a un cazapasswords: FakeAlert-ML and Generic PWS.coa, si bien pueden ser cambiados por el coder en el momento que quiera, claro.
Se lanza como proceso oculto, y añade esta clave de registro para ser ejecutado en los siguientes reinicios:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = “%WinDir%\system32\userinit.exe,%Temp%\filename.exe”
y para los demas se crea:
svchost = “%Windir%\mssrvc\svchost.exe”
ImagePath = “%System%\mssrv32.exe”
Desactiva la opcion de ver ficheros ocultos y extensiones de ficheros, para impedir poder ver los ficheros malware que crea
Crea un Mutex llamado “SpreadEm”
Informa de la infección al siguiente sitio web:
* xu[removed].ru/404/stat.php (ubicado en Federación Rusa)
Sintomas:
Existencia de un tráfico anormal en la red, aparte de los ficheros y claves indicadas
Metodo de infección:
Los Droppers no son virus sino troyanos, por lo cual no se replican (propagan) por sus medios. ;as bien se ha de descargar manualmente aunque otros virus o troyanos pueden instalarlos en el sistema.
En algunos casos pueden llegar mediante spam enviado por el autor a todo el mundo, para que lo ejecuten utilizando la típica ingenieria social.
Tambien pueden instalarse por visitar paginas maliciosas (o pulsar en un link, o por contener un script que instala el dropper aprovechando un exploit
Al ser este dropper creador de otros dos troyanos, la infeccion lograda es tripe, de un dropper, de un Fake AV y de un PWS, los cuales deben eliminarse totalmente por la gravedad de cualquiera de ellos
Las caracteristicas de estos tres ficheros son:
%Temp%\[dropper] 75.264 bytes
MD5: 5BB1702C4501EDE1B51856A38ECCC238
SHA-1: 35892728F4D32465EFE8E3E8332A5F9A25B20DF9
%Windir%\mssrvc\svchost.exe 26.624 bytes
MD5: A399EF88781CAB6DFFED8C56867794B7
SHA-1: A5096C25CF29AF2B2A6413347AF17EDB7EDC9204
%System%\mssrv32.exe 23.040 bytes
MD5: 34DF6AC400049625D739E1B0A5386E12
SHA-1: 7A60596C0ED1B8FFBF9626B7A7FC0F0F0043BAB8
Con lo cual se pueden detectar con el ELIMD5.EXE y los correspondientes hashes indicados.
Una variante mas que pasa a ser controlada, pero esta vez triple, para fastidiar mas…
saludos
ms, 18-3-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.