OTRA COMPLEJIDAD AÑADIDA: A ESTA NUEVA VARIANTE DE PWS COINSTEALER LO UBICAN EN RUTA CON CARACTERES UNICODE EN LAS PALABRAS MI?R?SOFT WIND?WS Y H?ST
Pues en esta nueva variante, la clave de lanzamiento del malware con el nombre de iexplorer.exe (con r final , a diferencia del de microsoft que es iexplore.exe) es con caracteres unicode (doble byte) , a saber:
“Mi?r?soft ® Wind?ws Based Explorer H?st”= “%Datos de Programa%\ Windows View Invoker\ iexplorer.exe”
por lo que lo pasamos a controlar solo por las cadenas de los ficheros conocidos, pero las variantes que vayan haciendo del mismo, de momento no van a ser controladas.
Los caracteres “raros” indicados con “?” corresponden a la “c” c (caracter unicode 0x0441) y a la “o” о (caracters unicode 0x043E)
Aparte hemos visto que queda residente, por lo que puede tratarse de un backdoor cazapasswords, como lo indentifican algunos antivirus en el preanalisis de virustotal:
__________
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Los comentarios están cerrados.