Nueva variante de malware SPY.BANKER
Cambia el fichero HOSTS redirigiendo a paginas phishing de varios bancos, en las que intenta capturar cuenta y password aprovechando la buena fe de los usuarios…
A partir del ELISTARA 23.65, además de detectar el HOSTS cambiado y ofrecer su restauracion, se detecta por cadenas el fichero malware y se pasa a controlar
El preanalisis del VirusTotal nos ofrece este informe:
File name:
61B2.exe
Submission date:
2011-07-18 07:20:23 (UTC)
Current status:
finished
Result:
10/ 43 (23.3%)
VT Community
malware
Safety score: 0.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.07.18.01 2011.07.18 –
AntiVir 7.11.11.177 2011.07.18 –
Antiy-AVL 2.0.3.7 2011.07.15 –
Avast 4.8.1351.0 2011.07.18 –
Avast5 5.0.677.0 2011.07.18 –
AVG 10.0.0.1190 2011.07.17 –
BitDefender 7.2 2011.07.18 –
CAT-QuickHeal 11.00 2011.07.18 –
ClamAV 0.97.0.0 2011.07.18 –
Commtouch 5.3.2.6 2011.07.18 –
Comodo 9421 2011.07.18 Heur.Suspicious
DrWeb 5.0.2.03300 2011.07.18 –
Emsisoft 5.1.0.8 2011.07.18 –
eSafe 7.0.17.0 2011.07.17 –
eTrust-Vet 36.1.8446 2011.07.15 –
F-Prot 4.6.2.117 2011.07.18 –
F-Secure 9.0.16440.0 2011.07.18 –
Fortinet 4.2.257.0 2011.07.18 W32/Refroso.AGEA!tr
GData 22 2011.07.18 –
Ikarus T3.1.1.104.0 2011.07.18 –
Jiangmin 13.0.900 2011.07.14 –
K7AntiVirus 9.108.4911 2011.07.15 –
Kaspersky 9.0.0.837 2011.07.18 UDS:DangerousObject.Multi.Generic
McAfee 5.400.0.1158 2011.07.18 Generic.grp!g
McAfee-GW-Edition 2010.1D 2011.07.18 Heuristic.LooksLike.Win32.SuspiciousPE.J!87
Microsoft 1.7000 2011.07.18 –
NOD32 6302 2011.07.18 a variant of Win32/Injector.HVH
Norman 6.07.10 2011.07.17 –
nProtect 2011-07-17.01 2011.07.17 –
Panda 10.0.3.5 2011.07.17 Trj/CI.A
PCTools 8.0.0.5 2011.07.13 –
Prevx 3.0 2011.07.18 Medium Risk Malware
Rising 23.66.04.03 2011.07.15 –
Sophos 4.67.0 2011.07.18 Troj/VB-FJW
SUPERAntiSpyware 4.40.0.1006 2011.07.18 –
Symantec 20111.1.0.186 2011.07.18 –
TheHacker 6.7.0.1.257 2011.07.18 –
TrendMicro 9.200.0.1012 2011.07.18 –
TrendMicro-HouseCall 9.200.0.1012 2011.07.18 –
VBA32 3.12.16.4 2011.07.15 –
VIPRE 9890 2011.07.18 Trojan.Win32.Generic!BT
ViRobot 2011.7.18.4574 2011.07.18 –
VirusBuster 14.0.128.0 2011.07.17 –
Additional information
MD5 : 6a67772947cf7985fc1f64c3506279f7
SHA1 : 79b1d7007affc52298bd24c8854ae68724f1715a
File size : 114688 bytes
publisher….: FB Registered Mark
copyright….: n/a
product……: KELLOGGS
description..: n/a
original name: APLICACION PARA FACEBOOK.exe
internal name: APLICACION PARA FACEBOOK
file version.: 75.75.0043
Cabe mencionar que al HOSTS por él creado le pone atrinuto de solo lectura (R) para hacerlo mas dificil cambiar, lo cual no es impedimmento para nuestro ELISTARA
Y que no queda residente en memoria, simplemente redirige a las paginas maliciosas:
avvillas.com.co
www.avvillas.com.co
bancocajasocial.com.co
www.bancocajasocial.com.co
bancopopular.com.co
www.bancopopular.com.co
banesco.com
www.banesco.com
banfoandes.com.ve
www.banfoandes.com.ve
bbva.com.co
www.bbva.com.co
bodinternet.com
www.bodinternet.com
cajasocial.com
www.cajasocial.com
colmena.com.co
www.colmena.com.co
colpatria.com
www.colpatria.com
davivienda.com
www.davivienda.com
grupobancolombia.com
www.grupobancolombia.com
grupohelm.com
www.grupohelm.com
provincial.com
www.provincial.com
bfc.com.ve
www.bfc.com.ve
bancodeoccidente.com.co
www.bancodeoccidente.com.co
Dicha version ELISTARA 23.65 que lo detecta y elimina , estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 18-7-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.