NUEVO MALWARE RISKTOOL SHELLSTART QUE INTERCEPTA LA EJECUCION DE DETERMINADOS EXE

Se trata de un nuevo malware que bloquea la red, cuando está conectado a la misma, por interceptar la ejecución de EXEs concretos

Al ejecutarlo visualiza:

“sethc.exe”
“Enter password”
[ ]
[ OK ] [ Cancel ]

Recibimos la muestra pedida por por el EliStarA, segun se pide en el Infosat.txt:

Lista de Acciones (por Acción Directa):
Sospechosa Clave “HKLM\…\Image File Execution Options\NARRATOR.EXE”
“Debugger”=”C:\WINDOWS\FONTS\WIN\SE.EXE”
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\SE.EXE(Debugger).vir
a “virus@satinfo.es”. Gracias.
Sospechosa Clave “HKLM\…\Image File Execution Options\UTILMAN.EXE”
“Debugger”=”C:\WINDOWS\FONTS\WIN\SE.EXE”

“Debugger”=”%WinDir%\Fonts\Win\se.exe”

Posiblemente relacionado con variante de RISKTOOL BITCOIN MINER, dado que el mismo ELISTARA ha detectado y eliminado varios componentes del mismo:

C:\Windows\Fonts\s\SRVANY.EXE –> Eliminado, RiskTool.BitCoinMiner.AM

C:\Windows\Fonts\w\SRVANY.EXE –> Eliminado, RiskTool.BitCoinMiner.AM

El preanalisis de virustotal sobre el fichero en cuestión ofrece el siguiente informe:

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.