Inteco alerta de un virus en forma de salvapantallas de una chica ‘ligera de ropa’ para robar datos del equipo

El Instituto Nacional de Tecnologías de la Comunicación (INTECO)  ha catalogado AutoIt.RG, un troyano para la plataforma Windows que llega al sistema a través de un fichero adjunto a un correo electrónico, descargado inadvertidamente por el usuario o a través de redes P2P (de intercambio de archivos).

Este fichero simula ser un salvapantallas de una chica ‘ligera de ropa’ que, al intentar abrirlo, infecta el sistema y se conecta con servidores maliciosos remotos para descargar nuevo ‘malware’.

Se trata de un gusano para la plataforma windows que modifica el registro de Windows y se propaga a través de unidades extraibles conectadas al sistema. El nuevo malware abre una puerta trasera en el sistema a través de la cual un atacante malicioso podría tomar el control de nuestro equipo o robar información sensible como contraseñas, pins o números de tarjetas de crédito para enviarla al atacante remoto.

Para evitar verse infectado por este malware, Inteco aconseja eludir visitar páginas de origen dudoso, que abran muchas ventanas emergentes, con direcciones extrañas o con aspecto poco fiable. Además, se aconseja tener en cuenta unas medidas de seguridad básicas consistentes en mantener actualizado el navegador y el sistema operativo con los últimos parches publicados e instalar un antivirus actualizado en el equipo.

 Fuente

 

 

 

MAS INFORMACION SOBRE ESTE NUEVO MALWARE

Examples of W32/AutoIt-RG include:

Example 1

File Information

Size836K
SHA-17d2e56ffa8712072a9d61ca8f41440dfa3b6ed78
MD55497f2260591cee99db90b7d99c5eb84CRC-323664d58f
File type Windows executable
First seen  2013-01-10

Example 2

File Information

Size836K
SHA-1f12e08817c0eb329a3af7d99713c611db702d5b3
MD5 1b2c85715cbc76410bd7c3d4f6c4e88bCRC-3272bb50c9
File type  Windows executable
First seen 2013-01-10

Runtime Analysis

Copies Itself To

C:\jasmin.scr
c:\Documents and Settings\test user\Local Settings\Temp\120889\svhost.exe

Dropped Files
c:\Documents and Settings\test user\Application Data\Hybyni\pybue.exe

Size836K
SHA-17d2e56ffa8712072a9d61ca8f41440dfa3b6ed78
MD5 5497f2260591cee99db90b7d99c5eb84CRC-323664d58f
File type  Windows executable
First seen 2013-01-10

Registry Keys Created
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

 Fuente

 

COMENTARIO:
Como sea que, tras recibirse por mail, se propaga por pendrive, recomendamos vacunar ordenadores y pendrives con nuestra utilidad ELIPEN.EXE

Este malware, puede detectarse ya con nuestra utilidad ELIMD5.EXE, tanto el dropper como el generado, entrando respectivamente los MD5 correspondientes:

1b2c85715cbc76410bd7c3d4f6c4e88bCRC-3272bb50c9

5497f2260591cee99db90b7d99c5eb84CRC-323664d58f

Si los detectan, pueden enviarnos muestras para controlarlas en el siguiente ELISTARA.

saludos

ms, 12-1-2013

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies