NUEVA VARIANTE DE KEYLOGGER BLADABINDI, QUE SE PROPAGA POR PENDRIVE

Una nueva variante de este conocido keylogger, aparte de quedar residente y generar un informe de todo lo tecleado (anulando acentos), infecta pendrives ocultando sus ficheros con atributo +H y generando links en ellos, con el mismo nombre de los ficheros ocultados, direccionando a la ejecucion de dicho malware.

Aparte de ello, crea un fichero con icono de una chica en la playa, cuya ejecución, mientras visualiza dicha imagen, instala otra variante del keylogger oculto en un fichero con caracteres Unicode en el nombre, de manera que en la carpeta de Mis Documentos aparece un fichero SCR que el usuario ve como JPG, al invertir los tres ultimos caracteres y colocarlos en lugar de la extension:

%Mis Documentos%\ sarahsoso?gpj.Scr

de forma que el usuario ve, con icono de un corazon, el siguiente fichero:

bladabindi unicode
imagen bladabindi unicode.jpg

cuya ejecucion visualiza la indicada imagen de una chica en la playa y lanza el Bladabindi:

 

sarahsoso‮gpj Imagen
imagen “chica en la playa”.jpg que presenta el keylogger Bladabindi

Total, que de una forma muy facil nos pueden instalar un keylogger que propague todo lo que escribamos sin enterarnos !

A partir de la version del ELISTARA 32.35 de hoy pasamos a controlar el malware en cuestion, recordando que quien lo detecte en el ordenador, debe tambien eliminarlo de los pendrives, y viceversa.

El preanalisis de virustotal del fichero con icono del corazon, presenta el siguiente informe:

SHA256: 8fd23ded51761089877a73201811a157ed2cc2ffab5b83e3c382321e76765208
File name: sarahsoso‮gpj.Scr
Detection ratio: 25 / 57
Analysis date: 2015-05-22 10:00:38 UTC ( 3 minutes ago )

0 1
Antivirus Result Update
TotalDefense Win32/DotNetBinder.A!generic 20150521
DrWeb Win32.HLLW.Autoruner.25074 20150522
Comodo TrojWare.MSIL.Binder.BCA 20150522
Jiangmin Trojan/JboxGeneric.kgo 20150519
Baidu-International Trojan.MSIL.Binder.CZ 20150522
Ikarus Trojan-Dropper.MSIL 20150522
Sophos Troj/dnsauce-B 20150522
Rising PE:Trojan.MSIL.Runp!1.9DFA 20150521
Avast MSIL:Bladabindi-IG [Wrm] 20150522
Fortinet MSIL/Dropper_Binder.BS!tr 20150522
Kaspersky HEUR:Trojan.Win32.Generic 20150522
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20150522
Emsisoft Gen:Variant.MSILKrypt.6 (B) 20150522
ALYac Gen:Variant.MSILKrypt.6 20150522
Ad-Aware Gen:Variant.MSILKrypt.6 20150522
BitDefender Gen:Variant.MSILKrypt.6 20150522
F-Secure Gen:Variant.MSILKrypt.6 20150522
GData Gen:Variant.MSILKrypt.6 20150522
MicroWorld-eScan Gen:Variant.MSILKrypt.6 20150522
AVG Dropper.Msil.CN 20150522
Avira BDS/Bladabindi.ajoqj 20150522
Malwarebytes Backdoor.Bot.MSIL 20150522
McAfee BackDoor-FBHS!FB9B3BD7F582 20150522
McAfee-GW-Edition BackDoor-FBHS!FB9B3BD7F582 20150522
ESET-NOD32 a variant of MSIL/TrojanDropper.Binder.CZ 20150522

y el fichero que lo instala y descarga el anterior, llega con el nombre de Crome.exe:
MD5 a0c9becfa66600d9d110096ce830e6c5
SHA1 6afc418e6ccbe108de6a9896435e608e57162752
File size 116.0 KB ( 118784 bytes )

SHA256: abf1fd5c63add9ee077fe9123ba9cd341c4fe060fa045e8f3460e091855db599
File name: Crome.exe
Detection ratio: 23 / 57
Analysis date: 2015-05-22 10:23:56 UTC ( 2 minutes ago )

0 1

Antivirus Result Update
ALYac Gen:Heur.MSIL.Androm.3 20150522
AVG ILCrypt 20150522
Ad-Aware Gen:Heur.MSIL.Androm.3 20150522
Avast MSIL:Bladabindi-IG [Wrm] 20150522
Avira TR/Keylogger.AY 20150522
BitDefender Gen:Heur.MSIL.Androm.3 20150522
Comodo TrojWare.MSIL.Kryptik.AD 20150522
DrWeb Trojan.MulDrop3.62686 20150522
ESET-NOD32 a variant of MSIL/Kryptik.PM 20150522
Emsisoft Gen:Heur.MSIL.Androm.3 (B) 20150522
F-Secure Gen:Heur.MSIL.Androm.3 20150522
Fortinet MSIL/Dropper.PM!tr 20150522
GData Gen:Heur.MSIL.Androm.3 20150522
Ikarus Trojan.MSIL.Crypt 20150522
Jiangmin Trojan/Generic.btxvq 20150519
K7AntiVirus Trojan ( 700000121 ) 20150522
K7GW Trojan ( 700000121 ) 20150522
Kaspersky HEUR:Trojan.Win32.Generic 20150522
Malwarebytes Trojan.MSIL 20150522
McAfee Trojan-FDLZ!A0C9BECFA666 20150522
McAfee-GW-Edition Trojan-FDLZ!A0C9BECFA666 20150522
MicroWorld-eScan Gen:Heur.MSIL.Androm.3 20150522
NANO-Antivirus Trojan.Win32.MulDrop3.cwbgey 20150522
Dicha version del ELISTARA 32.35 que los detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 22-5-2015

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies