NUEVA GAMA DE MALWARES SUBTI, QUE SE LANZAN DESDE LOS TXT A TRAVES DEL CMD

Igual que los llama Microsoft, “VirTool:MSIL/Subti.N” , pasamos a controlar esta nueva historia de malwares que se lanzan desde un O4 RUN que contiene al final un CMD:

hgcxfc;k;jugdfcghfjhbjh.txt | cmd

lo cual les hace comportarse como si se tratara de un BAT

Uno de ellos lo contiene un COMMERCIAL.EXE, que en VIRUSTOTAL, ofrece este informe

Las caracteristicas de cada fichero con malware SUBTI, como dicho COMMERCIAL.EXE, son las siguientes:

Queda residente.

%WinIni%\ commercial.exe
%WinTmp%\ hgcxfc;k;jugdfcghfjhbjh.txt

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“hgcxfc;k;jugdfcghfjhbjh”=”cmd /c type %WinTmp%\hgcxfc;k;jugdfcghfjhbjh.txt | cmd”

Contenido del TXT :

%WinIni%\ commercial.exe
exit

(se ejecuta desde el O4 como un BAT)

A partir del ELISTARA 37.99 de hoy pasamos a controlar los nombres de los ficheros que vamos conociendo, eliminando dichos ficheros TXT de la carpeta de Inicio, asi como la cadena de lanzamiento.

El que utilicen ficheros TXT para lanzar malwares, es otra historia para no dormir…

saludos

ms, 1-12-2017

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies