OTRA COMPLEJIDAD AÑADIDA: A ESTA NUEVA VARIANTE DE PWS COINSTEALER LO UBICAN EN RUTA CON CARACTERES UNICODE EN LAS PALABRAS MI?R?SOFT WIND?WS Y H?ST

Publicado el 30 octubre 2017 ¬ 17:05 pmh.mscComentarios desactivados en OTRA COMPLEJIDAD AÑADIDA: A ESTA NUEVA VARIANTE DE PWS COINSTEALER LO UBICAN EN RUTA CON CARACTERES UNICODE EN LAS PALABRAS MI?R?SOFT WIND?WS Y H?ST

Pues en esta nueva variante, la clave de lanzamiento del malware con el nombre de iexplorer.exe (con r final , a diferencia del de microsoft que es iexplore.exe) es con caracteres unicode (doble byte) , a saber:

“Mi?r?soft ® Wind?ws Based Explorer H?st”= “%Datos de Programa%\ Windows View Invoker\ iexplorer.exe”

por lo que lo pasamos a controlar solo por las cadenas de los ficheros conocidos, pero las variantes que vayan haciendo del mismo, de momento no van a ser controladas.

 

Los caracteres “raros” indicados con “?” corresponden a la “c” (caracter unicode 0x0441) y a la “o” о (caracters unicode 0x043E)

 

Aparte hemos visto que queda residente, por lo que puede tratarse de un backdoor cazapasswords, como lo indentifican algunos antivirus en el preanalisis de virustotal:

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Virus, , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies