Informacion sobre la nueva propagacion de malware GAMARUE descargado por el downloader FAKEWRITE y afecta a pendrives
nuevo método de infección de pendrives, que oculta todo su contenido y lo deja infeccioso, con aparente link que decodifica y ejecuta en temporal un fichero codificado creado al efecto, variable segun variante, como estos dos por ejemplo:
C:\WINDOWS\system32\rundll32.exe ~$W****.fat,crys ******** ********
ó C:\WINDOWS\system32\rundll32.exe _*****.init,crys ******** ********
y ejecuta “C:\Temp\TrustedInstaller.exe” (+s+h)
lo cual genera una nueva variante del FAKE WRITE
Dichas muestras han generado un AUTORUN.INF oculto y a cero bytes y el fichero THUMBS.dv, que es el malware propiamente dicho, aparte de un DESKTOP.INI cifrado y del link en cuestion y los ficheros .fat o .init segun variante, que son los descifradores de los ficheros cifrados, a saber:
X:\ Autorun.inf ———–> (+s+h) a 0 Bytes ¿¿¿???
X:\ Thumbs.db ————-> (+s+h+r) EXE encriptado
X:\ ~$W****.fat ó _*****.init ———–> (+s+h+r) es una Dll (UPX)
X:\ Desktop.ini ———–> (+s+h+r) formato cifrado
X:\ %label% (%size%GB).lnk
X:\ Carpeta (Alt255) ——> (+s+h) con el contenido original de la unidad.
De esta familia se teme habrá facil propagacion, al utilizar métodos de infección novedosos, en las que es el propio usuario quien ejecuta el virus al pulsar sobre el link que aparenta ser el icono del disco duro (ingenieria social)
De esta familia ya hablamos ayer en esta NOTICIA:
Y ya lo pasamos a controlar con el ELISTARA 27.50 de ayer, que hoy potenciamos en el 27.51 eliminando los atributos de la carpeta escondida con todo el contenido inicial del pendrive.
Ver ESTA NOTICIA al respecto
saludos
ms, 19-4-2013
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.