VARIANTE DE SPYBANKER generado por BANLOAD
De la monitorización de un BANLOAD que se descargaba desde un link de un mail, hemos obtenido este fichero que es el propio SPYBANKER (cazapasswords bancario) y que al instalarse en la carpeta de ADOBE y llamarse READER.EXE es fácil que pase desapercibido.
A partir del ELISTARA 32.03 de hoy pasamos a controlarlo especificamente
El preanalisis de virustotal ofrece el siguiente informe:
MD5 85eaedcff79fe7283917839ab71198c2
SHA1 026263b589d4b5416f62e8e2d5516be53b43306f
Tamaño del fichero 3.4 MB ( 3522812 bytes )
SHA256: 0366a18b4843989b6a9728492d79c9a98b16c1822583b335555639eaf347ebf6
Nombre: Reader.exe
Detecciones: 8 / 56
Fecha de análisis: 2015-04-09 09:32:46 UTC ( hace 7 minutos )
0 1
Antivirus Resultado Actualización
AVG Autoit_c.BVDO 20150409
K7AntiVirus Spyware ( 004bc9151 ) 20150409
K7GW Spyware ( 004bc9151 ) 20150409
Kaspersky not-a-virus:RiskTool.Win32.BitCoinMiner.xzb 20150409
Panda Generic Suspicious 20150408
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20150409
Sophos Troj/HkAutoIt-C 20150409
VBA32 Trojan.Autoit.F 20150408
Si bien el ELISTARA ya lo detecta y elimina, tanto el fichero como la clave que lo lanza, ofrecemos para mas información la clave de carga donde se aprecia la ubicación del fichero en cuestión:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
“Reader”=”%Datos de Programa%\ Adobe\ Reader.exe”
Y como que el AV de McAfee aun no lo conoce, ya hemos enviado muestra McAfee AVERT LABS para su analisis y control en siguientes versiond el VirusScan.
La versión del ELISTARA 32.03 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 9-4-2015
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.