Mas incidencias del nuevo MALWARE REVETON (el de la policia), que se instala como ficheros DLL

Como deciamos ayer, un nuevo ingenio es usado en la infección del malware REVETON , y que consiste en instalar los ficheros EXE malwares como DLL, con un nombre típico de windows para algunos EXE, y lanzarlos con el RUNDLL32.EXE renombrado como LSSAS.EXE

En este caso el nombre que ha elegido es el SPPOLSV, con lo que el EXE malware lo llama SPOOLSV.DLL , que sigue lanzandolo desde el falso LSSAS que realmente es el RUNDLL32.EXE, que, a partir tambien pasamos a eliminar en la carpeta donde lo instala, para evitar que sea aprovechado por futuros malwares que lo pudieran utilizar.

A partir del ELISTARA 26.23 de hoy esta nueva generacion de REVETON ya será controlado como TROYANO REVETON, mientras que con el de ayer lo haciamos como malware MPRUI, aunque lo eliminaba igualmente.
El preanalisis de virustotal sobre la muestra recibida hoy, ya se ve que es detectada por 6 de 42 AV, 4 mas que ayer, aparte del ELISTARA que lo detecta tanto heuristicamente como especificamente, conforme indicado:
SHA256: 1345bb6040988225ca869abf1cc899ad7575e6d721fa5dc6ae93c72657879e82
SHA1: 8212b5e29ec8f205cab9605e394a72f093d86547
MD5: d621a7d48927d27ef1e9d7bf2860e2ca
Tamaño: 172.0 KB ( 176128 bytes )
Nombre: SPOOLSV.DLL.Muestra EliStartPage v26.21
Tipo: Win32 DLL
Detecciones: 6 / 42
Fecha de análisis: 2012-09-28 07:56:53 UTC ( hace 0 minutos )

00Más detalles
Antivirus Resultado Actualización
Agnitum – 20120926
AntiVir – 20120927
Antiy-AVL – 20120927
Avast – 20120928
AVG – 20120927
BitDefender Gen:Variant.Kazy.96457 20120927
ByteHero – 20120918
CAT-QuickHeal – 20120927
ClamAV – 20120927
Commtouch – 20120927
Comodo – 20120927
DrWeb – 20120927
Emsisoft – 20120919
eSafe – 20120927
ESET-NOD32 a variant of Win32/Kryptik.AMIN 20120927
F-Prot – 20120926
F-Secure Gen:Variant.Kazy.96457 20120927
Fortinet W32/Kryptik.ALTS!tr 20120927
GData Gen:Variant.Kazy.96457 20120928
Ikarus – 20120927
Jiangmin – 20120927
K7AntiVirus – 20120927
Kaspersky Trojan-Dropper.Win32.Injector.fved 20120927
Kingsoft – 20120925
McAfee – 20120927
McAfee-GW-Edition – 20120927
Microsoft – 20120926
Norman – 20120927
nProtect – 20120927
Panda – 20120927
PCTools – 20120927
Rising – 20120927
Sophos – 20120927
SUPERAntiSpyware – 20120911
Symantec – 20120928
TheHacker – 20120927
TotalDefense – 20120927
TrendMicro – 20120928
TrendMicro-HouseCall – 20120926
VBA32 – 20120927
VIPRE – 20120927
ViRobot – 20120927

Dicha version del ELISTARA 26.23 que lo controla y elimina, estará dispponible en nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 28-9-2012

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies