NUEVO ENGENDRO SPY SHIOTOB, QUE APARENTEMENTE SE AUTOBORRA, PERO SE RESTABLECE AL CERRAR WINDOWS

Tambien conocido como Spy Banker, como Bebloh y tambien como generic PWS, llega en un ZIP anexado a un e-mail, con un texto similar a :

__________

Envio su e-Factura

“adjuntamos relación de facturas y albaranes emitidos pendientes de pago hasta la fecha indicada.

Si tuviera algún problema a la hora de imprimir el fichero pdf, emplee la opción de imprimirlo como imagen.

Le informamos que cumpliendo con la normativa mercantil, tributaria y de tratamiento electrónico de datos, han sido firmados electrónicamente con nuestro Certificado Digital dándole una garantía absoluta.

Atentamente,

Adjuntos:
“notizen nr._von 22_1.zip” -> contiene “notizen nr._von 22_1.PDF.exe” (fichero nalicioso)
“23901995411_001 DOC.zip” –> contiene “23901900271_001 DOC.pdf.exe” (fichero malicioso)

_________________

Queda residente. (con proceso activo “EXPLORER.EXE”)

Con conexión, se actualiza y/o descarga otros malwares

Al cabo de un rato se instala con otro nombre y se autoborra

Tiene técnicas RootKit. Oculta Proceso, Ficheros y Clave de Registro

Luego se autoborra y se reinstala al cerrar Windows.

Lo pasamos a controlar a partir del ELISTARA 39.19, si bien es posible que no esté en el momento de pasar nuestra utilidad…

Una alternativa para eliminarlo, es terminar la sesión con un RESET, pues aunque no sea aconsejable normalmente, en este caso terminará con la reinstalación del malware al cortar la reejecución programada ante un cirre normal, que , al reiniciar, volvería a instalar el malware en el equipo.

 

total ofrece el siguiente informe:

 

saludos

ms, 5-6-2018

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies