NUEVO PWS (CAZAPASSWORDS) QUE SE AUTOCOPIA CON EL NOMBRE DE WINDOWS EN WININI, POR LO QUE PASAMOS A CONTROLARLO COMO MALWARE WINDOWS
Un nuevo cazapasswords, que como es normal en tal caso queda residente tras su ejecución, pasa a ser controlado a partir del ELISTARA 39.36 de hoy
Tanto McAfee, como MalwareBytes, como DrWeb, por ejemplo, lo consideran “Trojan.PWS.Stealer”, pero al ser nombre muy generico, pasamos a llamarle como el nombre con el que se autocopia.
Como curiosidad cabe indicar que el programa se relanza en el siguiente reinicio por doble camino, lo cual es atipico, pues creandolo en:
“Windowsupdate”=”%WinIni%\ Windows.exe -boot”
ya no haría falta crear esta otra clave de carga, como hace dicho engendro…:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CerrentVersion\Run]
“Dollar Tree Stores”=”%Datos de Programa%\ Dollar Tree Stores\ Dollar Tree Stores.exe”
Claro está que el indicado “Windows.exe” es una copia del inicial “Dollar Tree Stores.exe”, por lo que resulta un tanto inútil dicha doble carga en los siguientes reinicios, pero el hacker sabrá el porqué lo hace … ???
En cualquier caso pasamos a controlarlo a partir del ELISTARA 39-36 de hoy
PD El preanalisis de virustotal de dicho nuevo malware, ofrece la siguiente informacikón:
https://www.virustotal.com/es/file/43ec85ee1424eff8512ab8195f1f9a067d9b7966e009fbe839a1fcab6f249d73/analysis/1530184454/
saludos
ms, 28-6-2018
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.