Falsos correos electrónicos distribuyen nuevo virus derivado del ZEUS, que infecta archivos
Investigadores de seguridad advierten que una ola de falsos correos electrónicos bajo la apariencia que provienen de la Hacienda Pública, llevan a los destinatarios hacia una nueva variante del virus que infecta archivos LICAT.
LICAT es una pieza de malware asociada con el troyano bancario ZeuS que apareció por primera vez en octubre de 2010. Los analistas de malware creen que LICAT pretende ser un mecanismo de distribución y actualización de ZeuS.
El virus anexa su código malicioso a archivos legítimos EXE, DLL y HTML. Cada vez que se ejecuta uno de los archivos infectados, se genera una lista de URL de acuerdo con un algoritmo predefinido similar a aquello utilizado por Conficker.
El troyano ZeuS actualiza normalmente una lista predefinida de servidores de comando y control. Perder el control de estos nombres de dominio, significa generalmente perder el control de la botnet completa.
LICAT añade un mecanismo de redundancia. Intenta acceder a todas las URLs generadas y descarga una nueva versión de ZeuS si encuentra alguna.
Si pierden el control de sus dominios C&C, los atacantes pueden registrar un dominio que saben que LICAT generará de antemano y subirán su versión. Entonces todo lo que tienen que hacer es esperar.
Los correos maliciosos provienen aparentemente de “Payment IRS.gov” y tienen el asunto “Internal Revenue Service United States Department of the Treasury”.
El mensaje en el cuerpo del correo electrónico afirma que el destinatario es culpable de fraude fiscal y les instruye para inspeccionar su declaración de impuestos en el sitio web de la Hacienda Pública haciendo clic en un enlace. Haciendo clic en dicho enlace descarga la nueva variante de LICAT, conocida como TSPY_ZBOT.WHZ.
Los expertos en malware creen que LICAT es la creación de una única banda de defraudadores con acceso al código fuente del troyano ZeuS. “Los binarios cargados relacionados con LICAT de ZeuS Tracker sugieren que las variantes de Licat de hecho están viniendo de una banda específica de delincuentes informáticos. La mayoría de las muestras al respecto parecen tener recursos similares. Fuente
Cabe notar que hasta ahora las variantes del ZBOT eran gusanos no infectores, contra lo que parece ser este que infecta ficheros EXE, DLL y HTML, por lo que su desinfección deberá hacerse con uno de los antivirus que lo controle, como el McAfee, arrancando en MODO SEGURO para que no esté en memoria dicho engendro.
Con el analisis del VirusTotal puede verse los antivirus que lo detectan:
ile name: D57E54CA00488EF8A45802126D698E00BBFA5557.exe
Submission date: 2011-08-03 10:54:49 (UTC)
Current status: finished
Result: 34 /43 (79.1%)
VT Community
malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.08.03.01 2011.08.03 Win-Trojan/Zbot.173056.AB
AntiVir 7.11.12.200 2011.08.03 TR/PSW.Zbot.AF.152
Antiy-AVL 2.0.3.7 2011.08.03 –
Avast 4.8.1351.0 2011.08.02 Win32:Nedsym-HE [Trj]
Avast5 5.0.677.0 2011.08.02 Win32:Nedsym-HE [Trj]
AVG 10.0.0.1190 2011.08.03 Pakes.KMC
BitDefender 7.2 2011.08.03 Gen:Variant.Kazy.32274
CAT-QuickHeal 11.00 2011.08.03 –
ClamAV 0.97.0.0 2011.08.03 Trojan.Spy.ZBot-493
Commtouch 5.3.2.6 2011.08.03 –
Comodo 9611 2011.08.03 UnclassifiedMalware
DrWeb 5.0.2.03300 2011.08.03 Trojan.PWS.Panda.818
Emsisoft 5.1.0.8 2011.08.03 Win32.SuspectCrc!IK
eSafe 7.0.17.0 2011.08.03 –
eTrust-Vet 36.1.8479 2011.08.02 –
F-Prot 4.6.2.117 2011.08.03 –
F-Secure 9.0.16440.0 2011.08.03 Gen:Variant.Kazy.32274
Fortinet 4.2.257.0 2011.08.03 –
GData 22 2011.08.03 Gen:Variant.Kazy.32274
Ikarus T3.1.1.104.0 2011.08.03 Win32.SuspectCrc
Jiangmin 13.0.900 2011.08.02 Trojan/Generic.iquh
K7AntiVirus 9.109.4973 2011.08.02 Riskware
Kaspersky 9.0.0.837 2011.08.03 Trojan-Spy.Win32.Zbot.cacj
McAfee 5.400.0.1158 2011.08.03 PWS-Zbot.gen.dx
McAfee-GW-Edition 2010.1D 2011.08.03 PWS-Zbot.gen.dx
Microsoft 1.7104 2011.08.03 PWS:Win32/Zbot.gen!AF
NOD32 6346 2011.08.03 Win32/Spy.Zbot.YW
Norman 6.07.10 2011.08.03 W32/Zbot.XKV
nProtect 2011-08-03.04 2011.08.03 Gen:Variant.Kazy.32274
Panda 10.0.3.5 2011.08.02 Trj/CI.A
PCTools 8.0.0.5 2011.08.03 Trojan.Zbot
Prevx 3.0 2011.08.03 –
Rising 23.69.02.03 2011.08.03 Trojan.Win32.Generic.128B6DB6
Sophos 4.67.0 2011.08.03 Mal/EncPk-ZO
SUPERAntiSpyware 4.40.0.1006 2011.08.03 Trojan.Agent/Gen-Kryptik
Symantec 20111.1.0.186 2011.08.03 Trojan.Zbot
TheHacker 6.7.0.1.267 2011.08.02 –
TrendMicro 9.200.0.1012 2011.08.03 TSPY_ZBOT.WHZ
TrendMicro-HouseCall 9.200.0.1012 2011.08.03 TSPY_ZBOT.WHZ
VBA32 3.12.16.4 2011.08.02 Trojan.Zbot.2671
VIPRE 10050 2011.08.03 Win32.Malware!Drop
ViRobot 2011.8.3.4603 2011.08.03 Spyware.Zbot.173056.D
VirusBuster 14.0.150.0 2011.08.02 TrojanSpy.Zbot!NG0e0uj/r6M
Additional informationShow all
publisher….: TightVNC Group
copyright….: Copyright (C) 2000-2010 TightVNC Group
product……: TightVNC Win32 Viewer
description..: vncviewer
original name: vncviewer.exe
internal name: vncviewer
file version.: 1.5.2.0
saludos
ms, 22-8-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.