NUEVO CAZAPASSWORD EN CAMPAÑA INFORMATIVA DEL RECIENTE ACCIDENTE DE AIRFRANCE

 

Fichero malware  que crea en la carpeta de sistema :  mcieplg.dll  (igual nombre que el que usa el McAfee SiteAdvisor, pero en diferente carpeta).

WebSense nos ha informado de la siguiente alerta virica: http://securitylabs.websense.com/content/Alerts/3417.aspx

__________

Alerts

Threat Type: Malicious Web Site / Malicious Code

Websense Security Labs™ ThreatSeeker™ Network has detected a new malicious spam campaign pretending to deliver legitimate news updates about the Air France plane crash. The spam campaign is in Portuguese, and includes a link to view the first videos from the crash site.

The link to the video leads to a Trojan Downloader file named: Video_AirFrance_447.com. If a user runs the file, it downloads a malicious executable file masquerading as an image from [removed].org/imgs/like2.jpg. The malware registers a password-stealing BHO component on the system masquerading as a McAfee SiteAdvisor component with this GUID: {9387b8b2-5508-11de-8729-c56f55d89593}.

The GUID is linked to the malicious installed DLL file named mcieplg.dll under the system32 directory (%windir%\system32\mcieplg.dll). AV detection rates on this file are very low.

Screenshot of an example spam message:
http://securitylabs.websense.com/content/Assets/AlertMedia/Air_France_Plane_Crash_Spam.jpg

http://securitylabs.websense.com/content/Assets/AlertMedia/Air_France_Plane_Crash_Spam1.jpg

__________

 

Aun antes de buscar mas informacion sobre el particular, avisamos para que nadie «pique»…

Seguiremos informando en este mismo post

saludos

ms, 12-6-2009

 

Investigando al respecto hemos visto que este troyano instala una clave BHO con la class 9387B8B2-5508-11DE-8729-C56F55D89593 que lanza el fichero mcieplg.dll creado en la carpeta de sistema. Dicho fichero tiene el mismo nombre que uno del Site Advisor de McAfee de la carpeta correspondiente a dicha aplicacion, lo cual, junto con que enmascara la clave de lanzamiento poniendole el nombre de McAfee SiteAdvisor, puede despistar a los que lo analicen.

__________

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9387B8B2-5508-11DE-8729-C56F55D89593}\InProcServer32]
(Default) = «%System%\mcieplg.dll»
ThreadingModel = «Apartment»
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9387B8B2-5508-11DE-8729-C56F55D89593}]
(Default) = «McAfee SiteAdvisor»

__________

A partir de la version de hoy del ELISTARA 18.81, se controlará dicha class y fichero.

ms.

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies