NUEVO MALWARE RISKTOOL SHELLSTART QUE INTERCEPTA LA EJECUCION DE DETERMINADOS EXE
Se trata de un nuevo malware que bloquea la red, cuando está conectado a la misma, por interceptar la ejecución de EXEs concretos
Al ejecutarlo visualiza:
“sethc.exe”
“Enter password”
[ ]
[ OK ] [ Cancel ]
Recibimos la muestra pedida por por el EliStarA, segun se pide en el Infosat.txt:
Lista de Acciones (por Acción Directa):
Sospechosa Clave “HKLM\…\Image File Execution Options\NARRATOR.EXE”
“Debugger”=”C:\WINDOWS\FONTS\WIN\SE.EXE”
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\SE.EXE(Debugger).vir
a “virus@satinfo.es”. Gracias.
Sospechosa Clave “HKLM\…\Image File Execution Options\UTILMAN.EXE”
“Debugger”=”C:\WINDOWS\FONTS\WIN\SE.EXE”
“Debugger”=”%WinDir%\Fonts\Win\se.exe”
Posiblemente relacionado con variante de RISKTOOL BITCOIN MINER, dado que el mismo ELISTARA ha detectado y eliminado varios componentes del mismo:
C:\Windows\Fonts\s\SRVANY.EXE –> Eliminado, RiskTool.BitCoinMiner.AM
C:\Windows\Fonts\w\SRVANY.EXE –> Eliminado, RiskTool.BitCoinMiner.AM
El preanalisis de virustotal sobre el fichero en cuestión ofrece el siguiente informe:
__________
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Los comentarios están cerrados.