UNA NUEVA VARIANTE DE SPYZBOT, QUE TRAS DETECTARLO Y ELIMINARLO CON ELISTARA, CREA NUEVO FICHERO MALICIOSO EN EL SIGUIENTE REINICIO

Nuevas variantes del conocido SPYZBOT, que se reconoce por crear dobles acentos, utilizan una tecnica de ocultamiento creando nuevos ficheros malware con nombres raros de ficheros EXE en DATOS DE PROGRAMA, dentro de carpetas atipìcas, los cuales deben eliminarse tras enviarnos la muestra que pida el ELISTARA, si tras reiniciar persiste el doble acento.

Tras analizar la muestra indicada, añadiremos la cadena de la nueva variante del siguiente ELISTARA que hagamos controlando dicha cadena

Las características de dicha variante son:

– Queda residente (proceso activo no visible)
– Provoca el doble acento.

El preanalisis de virustotal de la última variante conocida de dicho malware, ofrece el siguiente informe:

https://www.virustotal.com/gui/file/52be37f2c5d05894e3d5336171852cde58ba814b099056b93451f651d8e204c7/detection

Las claves de registro que crea dicho malware muestran la tecnica de la creación/ejecución del nuevo fichero de nombre “raro”, en este caso UZWA.EXE :

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“help”=”C:\Documents and Settings\Ser\Datos de programa\InstallDir\help.exe”
Ezuxcu: “”C:\Documents and Settings\Ser\Datos de programa\Zywyta\uzwa.exe””

Es muy importante comprobar que, tras reiniciar, el doble acento no persista, y si lo hace, enviar muestra que pida el ELISTARA, claro.

saludos

ms, 25-6-2019