ANALISIS DE MUESTRAS RECIBIDAS DESDE BOLIVIA DE UN TROYANO INFECTOR DE EXES (“Trojan.Swisyn.AF”)
Una nueva variante de malware, bastante sofisticado, es el que pasamos a controlar a partir del ELISTARA 42.91 como Trojan.Swisyn.AF
– Queda residente (2 procesos activos)
– Oculta ficheros del sistema.
– Desactiva el Servicio del Cortafuegos de Windows.
– Infecta EXEs del Disco duro y de las Unidades de PenDrive y de Disquette.
Con cualquier EXE contenido en una unidad, se autocopia con su
mismo nombre añadiendole temporalmente una coma (“%nombre%.exe,”).
El EXE anfitrion lo añade al final de su código (bicho + EXE anfitrion)
Luego elimina el EXE anfitrion y se renombra (“%nombre%.exe”)
quedando con el mismo nombre e icono que el EXE anfitrion.
Al Ejecutar cualquiera de estos Ficheros infectados, primero se
ejecuta el Bicho, luego se extrae y lanza el EXE anfitrion
(“%nombre%.exe ” +s+h – el espacio final es un Alt255).
El ELISTARA elimina los EXE instalados por el malware y a los infectados les cambia la extensión a VXE para que puedan ser restaurados por el original o copia de seguridad manualmente.
Tener presente que tambien infecta PENDRIVES, por lo que vigilar con los que pudieran haber sido afectados !!!
saludos
ms, 12-2-2020
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.