Nuevo Backdoor.Win32.Sheedash (alias Lavandos y Bamital) , peligroso malware robacontraseñas para utilizarlas en instituciones de Rusia Y Ukraina

Recibida de internet informacion sobre nuevo malware que roba recursos FTP y contraseñas de banca electrónica de la manera más discreta, además de datos privados y cuentas que el estafador pueda utilizar, ofrecemos mas información:
su componente conductor no queda escrito en el disco más tiempo del necesario

se almacena en el Registro de Windows inmediatamente después de completar su tarea. Manteniendo un bajo perfil en nombre de “Lavandos está jugando”
Poco después de la infección, el malware generará – para cada navegador que se encuentran en el PC “secuestrado”- (Mozilla Firefox, Opera e Internet Explorer) – un “setupapi.dll” en la carpeta raíz de instalación
manipula las funciones del navegador con el fin de aceptar un certificado con firma personal como de confianza

Abre puerta trasera para revelar información sensible relacionada con la banca electrónica

DESCRIPCIÓN TÉCNICA:

El archivo original inyecta 3 dlls ( setupapi.dll, dll.dll, lib.dll ) y un controlador ( sfc.sys ).
En el proceso spoolsv.exe que inyecta dll.dll lib.dll, y en el driver y en iexplore.exe inyecta dll.dll

– En función del navegador existente en el ordenador infectado: <%archivos de programa%>\ [IExplore | Mozilla Firefox | Opera] \ \ setupapi.dll

– <%system folder%> \ sfcfiles.dll (lib.dll).

El sfcfiles.dll limpio es cifrado y empaquetado en HKEY_LOCAL_MACHINE \ SOFTWARE \ Configuración CryptoHash \ y también se trasladó en sfcfiles.dat. El fichero sfcfiles.dat se elimina después de un reinicio. El sfcfiles.dll infectado tiene el mismo tamaño y los mismos atributos (fecha de creación, fecha de modificación) que el archivo original.

__________

Una herramienta gratuita que promete eliminar el malware de nuestro ordenador. Lavandos.A, se apodera de datos privados de cualquier cuenta del usuario, claves de acceso a banca on line y a servidores FTP.

Este backdoor fue descubierto hace apenas unos días, el pasado 6 de enero, y está teniendo una difusión media en la red y está catalogado como de ‘alta peligrosidad’ por los daños que puede ocasionar con la información robada.

No se limita a sustraer contraseñas bancarias, sino que accede a cualquier cuenta de la que es titular el usuario para obtener información que pueda resultar útil a los estafadores.
Destacan que una de las particularidades de esta ciberamenza es que no permanece visible en el disco del ordenador más tiempo del necesario, y que pasa a ocultarse en el registro de Windows una vez ha completado su tarea.

Es importante comprobar la seguridad y el origen de las herramientas que se descargan en Internet, porque no siempre son lo que parecen, y los ciberdelicuentes cada vez se toman más molestias en mejorar la apariencia de sus troyanos y su capacidad de esquivar firewall y anti-virus.

La peligrosidad de Lavandos.A reside en que el daño directo no es el robo de información personal que posteriormente será vendida a terceros, sino de claves reales, con las que pueden robar nuestro dinero en el mundo real.

Con la banca on line, además de verificar siempre que utilizamos una conexión segura (https://), es importante tener cuidado con los correos de phishing, los clones de la página oficial y no confiar ciegamente en los teclados virtuales: ya hay programas capaces de grabar en torno a las coordenadas del ratón y enviar nuestras claves inmediatamente.

Una buena forma de controlar lo que ocurre con nuestras cuentas, es activar o contratar el servicio de aviso por sms de transferencias y otras operaciones con el banco.
Fuente
analisis del “remover” de Bitdefender :

File name: Console-Lavandos-Removal.exe
Submission date: 2011-01-18 14:26:45 (UTC)

Result: 4/ 43 (9.3%)  Detectado como malware por DrWeb, Comodo y McAfee
Nos reservamos la opinion al respecto… Los que tengan sospecha de haberlo ingresado, pueden detectarlo a través del ELIMD5.EXE y este hash :   MD5 A8E1AAA624DF507F961A95C15B8BB4E8 , propio del setupapi.dll malicioso.  Fuente

Caso de detectarlo, enviarnos muestra para analizar y pasarlo a controlar.

saludos

ms, 18-1-2011

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies