OTRO FALSO MAIL DE MOVISTAR PIDIENDO ENVIO DE DATOS, CON ANEXADO DE ROOTKIT SPYZBOT AA

Con una imagen de un mail de MOVISTAR (Falso) llega adjunto un fichero con ROOTKIT SPYZBOT AA de cuyas caracteristicas informamos tras la imagen de como llega dicho spam:

spam movistar 30-7-2015

 

Al ejecutar el fichero adjunto se instala en el ordenador un sofisticado rootkit SPY ZBOT AA, del que ya conocíamos una versión anterior, que cuando está en uso se oculta y dificulta su detección y eliminación, delatandose por la aparición de dobles acentos, cuando se acentúa un texto, lo cual solo ocurre el idiomas como el nuestro que hay carácteres acentuados, no siendo el caso del inglés por ejemplo.

Al instalarse en el ordenador, coge el nombre de un fichero existente y se copia en una carpeta de nombre normal, lo cual  hace mas dificil la localización visual, pero lo que es peor es que, si se detecta y elimina en modo normal, reaparece en el siguiente reinicio, por lo que conviene efectuar el analisis y limpieza ARRANCANDO EN MODO SEGURO, con lo cual a partir del ELISTARA 23.82 se detecta y elimina sin problemas, pero no asi en modo normal…

El preanalisis de virus total ofrece el siguiente informe:
MD5 607a01017898dd20f11fdc8e2bbee48b
SHA1 9fe7de6077d10e026eb3160b596549d20b5534a0
File size 268.4 KB ( 274848 bytes )
SHA256: f875cde8605a3e207e3b1a9d8c852bd10c868a74a00e54290590af8122864998
File name: formulario 30 julio 2015.PDF.doß.exe
Detection ratio: 4 / 56
Analysis date: 2015-07-30 09:33:44 UTC ( 2 minutes ago )

0 1

Antivirus Result Update
Kaspersky UDS:DangerousObject.Multi.Generic 20150730
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20150730
Rising PE:Malware.Obscure/Heur!1.9E03 20150728
Symantec Suspicious.Cloud.5 20150730

 

Como ya han visto algunos de los usuarios que nos han llamado al respecto, el fichero resultante de desempaquetar el anexo, tiene doble extension:

File name: formulario 30 julio 2015.PDF.doß.exe

para despistar, aparentando ser un PDF cuando realmente es un EXE ..

 

Como se ve, McAfee aun no lo detecta, por lo que ya le hemos enviado muestra para que añadan su control y eliminacion en la próxima version del VirusScan

Dicha versión del ELISTARA 32.82 que lo detecta y elimina (EN MODO SEGURO) estará disponible en nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 30-7-2015

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies