PROLIFERACION DE ROOTKIT SPYZBOT AA QUE LLEGA EN FALSO MAIL DE TELEFONICA

Publicado el 7 julio 2015 ¬ 9:53 amh.mscComentarios desactivados en PROLIFERACION DE ROOTKIT SPYZBOT AA QUE LLEGA EN FALSO MAIL DE TELEFONICA

Como ya informabamos dias atras, está propagandose una nueva variante de SPYZBOT (cazapasswords bancario) que tiene funciones de keylogger y que oculta la clave de lanzamiento en el registro de sistema, aparte de crear fichero complementario que solo se borra con un formateo de la unidad donde se haya grabado en FAT32, como en los pendrives.

Lo vamos controlando por cadenas de detección de los ficheros que nos van generando la monitorizacion de los ficheros anexados a los mails, pero si no se conoce la cadena de la variante de turno, pasa desapercibido.

Una manera de identificarlo es por la doble extensión del ficheros en el ZIP en el que se recibe, lo cual ya es el usuario el que debe estar alerta y evitar ejecutar ficheros de dicho tipo, como :

“facturas telefonicas 06.07.pdf_.exe”

que es como llega en el ZIP anexado al mail en cuestion, que es de este tipo:

 

MAIL MALICIOSO:

_______________
Asunto: Factura sin Papel: Sus últimas facturas ya están disponibles
De: Movistar <factura@comunicacior.movistar.es>

Estimado Cliente,

Ya puede consultar sus facturas telefónicas de fecha 06/jul/2015 o
descargarse los archivos pdf que le adjuntamos en esta comunicación y
que contienen una hoja resumen de cada una de ellas.

Le agradecemos su colaboración por utilizar el servicio eFactura.

ATENCIÓN: Por favor, no responda a este mensaje, este buzón no es atendido.
Si tiene alguna duda, estamos a su servicio en el apartado de Ayuda en
movistar.es y en el 1489. Si desea actualizar la dirección de e-mail en la
que recibe el aviso de disponibilidad de factura, acceda con sus claves de
usuario al apartado Ayuda, Gestión de e-Factura.
(*) Telefónica de España, S.A.U (en adelante “Movistar”), CIF A-82018474,
Gran Ví?a 28, 28013 Madrid, garantiza que la dirección de email que usted
nos ha facilitado es utilizada en la forma y con las limitaciones
establecidas en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad
de la Información y Comercio Electrónico (LSSICE).

Adjunto: “facturas telefónicas 06.07.zip” -> “facturas telefonicas 06.07.pdf_.exe”

_____________________
FIN DEL MAIL MALICIOSO

 

Esta nueva variante ya la controlamos con el actual ELISTARA 32.64, siendo ya 20 los AV del virustotal que lo detectan, como se ve en el informe del preanalisis correspondiente:
MD5 b4d59c5b53b931ff3b52992dfbb3daa5
SHA1 82d5ab7d9cf20bd9f44f4a6777475ff1d0f757c0
Tamaño del fichero 254.5 KB ( 260608 bytes )

SHA256: 61c4680a8f9dfb7eca46565fea499f8e890af8bb687832b5197b6da3545dc07c
Nombre: facturas telefonicas 06.07.pdf_.exe
Detecciones: 20 / 56
Fecha de análisis: 2015-07-07 06:50:41 UTC ( hace 20 minutos )

0 1

Antivirus Resultado Actualización
AVG Crypt4.BEWA 20150707
Ad-Aware Trojan.GenericKD.2542229 20150707
Arcabit Trojan.Generic.D26CA95 20150707
Avira TR/Agent.260608.39 20150707
Baidu-International Trojan.Win32.Inject.vcjl 20150706
BitDefender Trojan.GenericKD.2542229 20150707
ESET-NOD32 a variant of Win32/Kryptik.DOVS 20150707
Emsisoft Trojan.GenericKD.2542229 (B) 20150707
F-Secure Trojan.GenericKD.2542229 20150707
Fortinet W32/Inject.VCJL!tr 20150707
Ikarus Win32.Outbreak 20150707
Kaspersky Trojan.Win32.Inject.vcjl 20150707
MicroWorld-eScan Trojan.GenericKD.2542229 20150707
Microsoft PWS:Win32/Zbot 20150707
Panda Trj/Chgt.O 20150706
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20150707
Sophos Troj/Agent-ANYI 20150707
Symantec Infostealer.Limitail 20150707
TrendMicro TROJ_KRYPTIK.XXTXJ 20150707
TrendMicro-HouseCall TROJ_KRYPTIK.XXTXJ 20150707

Al enviarles a McAfee la muestra para que lo controlen en su próxima versión, nos indican que za lo controlan heurísticamente por la doble extensión utilizada, lo cual confirma la complejidad de dicho engendro, y que aparte de lo indicado, se podrá controlar una vez recibida la muestra sospechosa enviada por usuarios expertos que hayan visto la doble extensión en cuestión

remos controlando las nuevas variantes con las continuas versiones que vayamos haciendo del ELISTARA, a medida de que vayamos recibiendo de nuestros usuarios ficheros sospechoso que resulten ser maliciosos.

De momento los que hemos recibido al respecto ya están controlados con la actual versión del ELISTARA 32.64

saludos

ms, 7/7/2015

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies