Nuevo Backdoor.Tofsee-2 que es lanzado por un fichero de cero bytes !
A través de un fichero de cero bytes existente en la carpeta de inicio, lanzan un EXE infectado asociado al mismo, el cual pasamos a controlar como TOFSEE-2 a partir del ELISTARA 40.06 de hoy.
total del EXE en cuestión, ofrece el siguiente informe:>+
Como puede verse en dicho informe, algunos AV, como el de Microsoft, lo consideran backdoor, en su caso
como Backdoor:Win32/Tofsee!rfn
Cabe indicar que en la muestra ensayada ha creado el fichero de 0 bytes en
%WinIni%\ cunaz8di0i.9wfm7 (de 0 bytes)
y lo asocia en este caso con el EXE de
%Datos de Programa% (Configuración Local)\ Microsoft\ audiohd.exe
que es el que pasamos a controlar como TOFSSE-2, presuntamente backdoor.
Muy ingenioso lo de utilizar un fichero de cero bytes para lanzar un malware … !
Si se detecta y elimina el EXE indicado, puede convenir eliminar también el de cero bytes que haya en %WinIni%, para evitar mensajes de error en el inicio, al no encontrar el fichero asociado, que es el que se ha eliminado al ser malware.
saludos
ms, 8-11-2018
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.