NUEVA VARIANTE DE KEYLOGGER BLADABINDI QUE PASAMOS A CONTROLAR CON ELISTARA 32.53

A partir del ELISTARA 32.53 de hoy, pasamos a controlar esta nueva variante de esta familia de keyloggers

e da la circunstancia de que este se instala en el Inicio, con un nombre alfanumerico, por ejemplo a4a583aa8c0b3ab775f52fa74cb6b35a.exe, pero que ademas se copia en la carpeta APPDATA/ROAMING (la de Datos de programa de XP) con un nombre clásico, como CHROME.EXE, lanzandose desde dos claves, de HKCU y HKLM, :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

Con el ELISTARA 32.53 de hoy eliminamos dischas dos claves, y el fichero lanzado en ellas, ademas del que con diferente nombre (el de la clave), se copia en la carpetab de Inicio.

Como curiosidad cabe indicar que, al reves de los SPYZBOT, que se delatan por el DOBLE ACENTO, este otro se delata por la anulación de acentos, o sea que no se puede acentuar, lo cual no lo aprecian los angloparlantes, pero si los castellanoparlantes, aunque no sepan la causa, por lo cual lo comentamos.
El preanalisis de virustotal ofrece el siguiente informe:

MD5 a522649fb0508dece006fa248ba73ce3
SHA1 d27e65340ab46a3d4e2c42474b469f32d3797a98
File size 23.5 KB ( 24064 bytes )
SHA256: c18cd1249797f46691ad4c0b1562e63589a9a532ce49087f251577e166ff50b6
File name: chrome.exe
Detection ratio: 47 / 57
Analysis date: 2015-06-18 09:51:41 UTC ( 0 minutes ago )

0 1
Antivirus Result Update
ALYac Gen:Variant.Barys.10219 20150618
AVG PSW.ILUSpy 20150618
AVware Backdoor.MSIL.Bladabindi.a (v) 20150618
Ad-Aware Gen:Variant.Barys.10219 20150618
AhnLab-V3 Win-Trojan/Zbot.24064 20150618
Antiy-AVL Trojan/MSIL.Disfa.bqd 20150618
Arcabit Trojan.Barys.D27EB 20150618
Avast MSIL:GenMalicious-DQS [Trj] 20150618
Avira TR/Dropper.Gen7 20150618
Baidu-International Trojan.MSIL.Disfa.bqd 20150618
BitDefender Gen:Variant.Barys.10219 20150618
CAT-QuickHeal Backdoor.Bladabindi.AL3 20150618
ClamAV Win.Backdoor.Bladabindi-1 20150618
Comodo Backdoor.MSIL.Bladabindi.A 20150618
Cyren W32/MSIL_Bladabindi.I2.ge!Eldorado 20150618
DrWeb BackDoor.Bladabindi.1056 20150618
ESET-NOD32 a variant of MSIL/Bladabindi.BC 20150618
Emsisoft Gen:Variant.Barys.10219 (B) 20150618
F-Prot W32/MSIL_Bladabindi.I2.ge!Eldorado 20150618
F-Secure Gen:Variant.Barys.10219 20150618
Fortinet MSIL/Bladabindi.SMC!tr 20150617
GData Gen:Variant.Barys.10219 20150618
Ikarus Backdoor.MSIL 20150618
K7AntiVirus Trojan ( 700000121 ) 20150618
K7GW Trojan ( 700000121 ) 20150618
Kaspersky Trojan.MSIL.Disfa.bqd 20150618
Kingsoft Win32.Troj.Undef.(kcloud) 20150618
Malwarebytes Backdoor.Bot 20150618
McAfee BackDoor-NJRat!A522649FB050 20150618
McAfee-GW-Edition BehavesLike.Win32.BackdoorNJRat.mm 20150617
MicroWorld-eScan Gen:Variant.Barys.10219 20150618
Microsoft Backdoor:MSIL/Bladabindi.AJ 20150618
NANO-Antivirus Trojan.Win32.DownLoader11.cxfbrl 20150618
Panda Generic Malware 20150617
Qihoo-360 Win32/Trojan.40a 20150618
SUPERAntiSpyware Trojan.Agent/Gen-Bladabindi 20150618
Sophos Troj/DotNet-P 20150618
Symantec Backdoor.Ratenjay 20150618
Tencent Trojan.Win32.YY.Gen.18 20150618
TheHacker Trojan/Bladabindi.bc 20150616
TotalDefense Win32/DotNetDl.A!generic 20150617
TrendMicro BKDR_BLBINDI.SMN 20150618
TrendMicro-HouseCall Suspicious_GEN.F47V0617 20150618
VBA32 Trojan.MSIL.Disfa 20150617
VIPRE Backdoor.MSIL.Bladabindi.a (v) 20150618
Zillya Trojan.Disfa.Win32.27264 20150618
nProtect Trojan/W32.Agent.24064.WN 20150618
Dicha versión del ELISTARA que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 18-6-2015