Nuevo troyano bancario PWS-Banker!hfc se ha propagado en venezuela a traves de mail que anexa fichero “listas-fraude-electoral.pdf.exe”

Un nuevo troyano bancario se ha propagado en Venezuela después de que las elecciones presidenciales del país terminaran.
Todo comienza con un archivo llamado listas-fraude-electoral.pdf.exe (listas de fraudes electorales), que se propaga a través de un canal de noticias de televisión falso.

Lo curioso de esta pieza de malware es que está diseñado para atacar no sólo a los usuarios regulares venezolanos, sino también a empleados del gobierno.

Una vez instalado en un ordenador, la amenaza desactiva el control del sistema operativo de cuentas de usuario (UAC), permitiendo a los ciberdelincuentes ejecutar comandos administrativos, sin estar limitados de ninguna manera.

Luego, espera silenciosamente a que la víctima visite la página web de uno de los cinco bancos venezolanos. Cuando uno de estos sitios es visitado, el usuario es llevado a un host malicioso que permite a los atacantes robar su o sus credenciales bancarios.

Finalmente, el malware – probablemente operado por cibercriminales venezolanos – está diseñado para robar los credenciales de acceso de los empleados del Gobierno que se inscriben en el website de la Comisión de Administración de Divisas.

Este hecho del ataque a empleados de esta agencia gubernamental no es casualidad. La organización está a cargo de la administración legal del cambio de divisas en Venezuela.
El preanalisis de virustotal ofreec este informe:

SHA256: c9a457c2997050c8043dcb1a83eae318041e42af298c3e9b5ef8a0695bdbbf6e
SHA1: 9cbe00f8c1b0e25c590f221dcb6571725624010d
MD5: 8349ed0d8d10c59041bc612730d083d5
Tamaño: 13.5 KB ( 13824 bytes )
Nombre: 8349ed0d8d10c59041bc612730d083d5.exe
Tipo: Win32 EXE
Etiquetas: peexe
Detecciones: 25 / 43
Fecha de análisis: 2012-10-13 10:59:39 UTC ( hace 5 horas, 45 minutos )

03Más detallesAnálisis
Comentarios
Votos
Información adicional
Antivirus Resultado Actualización
Agnitum – 20121008
AntiVir TR/Agent.13824.176 20121008
Antiy-AVL – 20121008
Avast Win32:Spyware-gen [Spy] 20121008
AVG Hosts 20121008
BitDefender Generic.Malware.Shiddld!.6FC12C68 20121007
ByteHero – 20121009
CAT-QuickHeal Trojan.Agent.uael 20121009
ClamAV – 20121008
Commtouch – 20121008
Comodo Heur.Suspicious 20121008
DrWeb – 20121009
Emsisoft – 20120919
eSafe – 20121002
ESET-NOD32 Win32/Qhost.Banker.MU 20121009
F-Prot – 20121008
F-Secure Generic.Malware.Shiddld!.6FC12C68 20121003
Fortinet W32/Agent.UAEL!tr 20121008
GData Generic.Malware.Shiddld!.6FC12C68 20121009
Ikarus Virus.Hosts 20121008
Jiangmin – 20121008
K7AntiVirus – 20121008
Kaspersky Trojan.Win32.Agent.uael 20121009
Kingsoft Win32.Troj.Agent.(kcloud) 20121008
McAfee PWS-Banker!hfc 20121009
McAfee-GW-Edition PWS-Banker!hfc 20121008
Microsoft TrojanSpy:Win32/Bancos.AIP 20121009
MicroWorld-eScan Generic.Malware.Shiddld!.6FC12C68 20121008
Norman W32/Malware.ACWPQ 20121009
nProtect – 20121008
Panda Trj/CI.A 20121008
PCTools Trojan.Gen 20121009
Rising – 20121008
Sophos – 20121009
SUPERAntiSpyware – 20121005
Symantec Trojan.Gen.2 20121008
TheHacker – 20121009
TotalDefense – 20121008
TrendMicro TSPY_BANCOS.BWF 20121009
TrendMicro-HouseCall TSPY_BANCOS.BWF 20121008
VBA32 – 20121008
VIPRE Trojan.Win32.Generic!BT 20121008
ViRobot Trojan.Win32.A.Agent.13824.AG 20121008

McAfee ya lo detecta y controla como PWS-Banker!hfc

saludos

ms, 13-10-2012

 Fuente