Nuevo Backdoor.Tofsee-2 que es lanzado por un fichero de cero bytes !

A través de un fichero de cero bytes existente en la carpeta de inicio, lanzan un EXE infectado asociado al mismo, el cual pasamos a controlar como TOFSEE-2 a partir del ELISTARA 40.06 de hoy.

El preanalisis de virustotal del EXE en cuestión, ofrece el siguiente informe:>+

Como puede verse en dicho informe, algunos AV, como el de Microsoft, lo consideran backdoor, en su caso
como Backdoor:Win32/Tofsee!rfn

Cabe indicar que en la muestra ensayada ha creado el fichero de 0 bytes en

%WinIni%\ cunaz8di0i.9wfm7 (de 0 bytes)

y lo asocia en este caso con el EXE de

%Datos de Programa% (Configuración Local)\ Microsoft\ audiohd.exe

que es el que pasamos a controlar como TOFSSE-2, presuntamente backdoor.

Muy ingenioso lo de utilizar un fichero de cero bytes para lanzar un malware … !

Si se detecta y elimina el EXE indicado, puede convenir eliminar también el de cero bytes que haya en %WinIni%, para evitar mensajes de error en el inicio, al no encontrar el fichero asociado, que es el que se ha eliminado al ser malware.

saludos

ms, 8-11-2018

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies