Nuevo malware PHPBOT winvv.exe que puede infectar sin enterarnos:
Un fichero que llega por acceder a una web maliciosa o por comparticion P2P
Cuando reside en el sistema se conecta a una web remota:
http://ami-lec[interceptado]x.co.za/e107_plugins/setup.exe
desde donde descarga el dropper
El fichero creado por el SETUP.EXE es este:
C:\Documents and Settings\support\Local Settings\Application Data\winvv.exe
El fichero «dropper» o creador es este SETUP.EXE:
Submission date: 2010-09-19 11:03:59 (UTC)
Current status: finished
Result: 27 /43 (62.8%)
VT Community
malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.09.19.00 2010.09.18 Downloader/Win32.Mufanom
AntiVir 8.2.4.58 2010.09.18 TR/Crypt.XPACK.Gen3
Antiy-AVL 2.0.3.7 2010.09.19 –
Authentium 5.2.0.5 2010.09.18 W32/Hiloti.I.gen!Eldorado
Avast 4.8.1351.0 2010.09.19 Win32:Malware-gen
Avast5 5.0.594.0 2010.09.19 Win32:Malware-gen
AVG 9.0.0.851 2010.09.19 –
BitDefender 7.2 2010.09.19 Gen:Variant.Kazy.448
CAT-QuickHeal 11.00 2010.09.18 –
ClamAV 0.96.2.0-git 2010.09.18 –
Comodo 6128 2010.09.19 Heur.Suspicious
DrWeb 5.0.2.03300 2010.09.19 Trojan.Packed.20961
Emsisoft 5.0.0.37 2010.09.19 Trojan.Win32.Hiloti!IK
eSafe 7.0.17.0 2010.09.17 –
eTrust-Vet 36.1.7862 2010.09.17 –
F-Prot 4.6.1.107 2010.09.18 W32/Hiloti.I.gen!Eldorado
F-Secure 9.0.15370.0 2010.09.19 Gen:Variant.Kazy.448
Fortinet 4.1.143.0 2010.09.19 –
GData 21 2010.09.19 Gen:Variant.Kazy.448
Ikarus T3.1.1.88.0 2010.09.19 Trojan.Win32.Hiloti
Jiangmin 13.0.900 2010.09.19 –
K7AntiVirus 9.63.2552 2010.09.18 Riskware
Kaspersky 7.0.0.125 2010.09.19 Trojan-Downloader.Win32.Mufanom.afvf
McAfee 5.400.0.1158 2010.09.19 Artemis!6589410AC289
McAfee-GW-Edition 2010.1C 2010.09.18 Artemis!6589410AC289
Microsoft 1.6201 2010.09.19 Trojan:Win32/Hiloti
NOD32 5460 2010.09.18 –
Norman 6.06.06 2010.09.19 –
nProtect 2010-09-19.01 2010.09.19 Gen:Variant.Kazy.448
Panda 10.0.2.7 2010.09.18 Trj/CI.A
PCTools 7.0.3.5 2010.09.19 Trojan.Gen
Prevx 3.0 2010.09.19 Medium Risk Malware
Rising 22.65.05.00 2010.09.18 –
Sophos 4.57.0 2010.09.19 Mal/Hiloti-D
Sunbelt 6895 2010.09.19 Trojan.Win32.Hiloti.aa (v)
SUPERAntiSpyware 4.40.0.1006 2010.09.19 –
Symantec 20101.1.1.7 2010.09.19 Trojan.Gen
TheHacker 6.7.0.0.024 2010.09.19 –
TrendMicro 9.120.0.1004 2010.09.18 TROJ_HILOTI.SME
TrendMicro-HouseCall 9.120.0.1004 2010.09.19 TROJ_HILOTI.SME
VBA32 3.12.14.0 2010.09.17 –
ViRobot 2010.9.18.4048 2010.09.18 –
VirusBuster 12.65.13.0 2010.09.18 –
Additional informationShow all
MD5 : 6589410ac289a15ecda4f660a066d38d
SHA1 : 5dcf5fe9ccbeb897535d4e713b7f3341d0ecc94f
File size : 78848 bytes
Comentario:
Recomendamos precaucion, y si tras sospechar algo, el ELIMD5 les detecta un fichero con dicho checksum, enviennoslo para analizar y controlar !
saludos
ms, 19-9-2010
NOTA:
Nota: El fichero creado por el SETUP, es el llamado winvv.exe, con estas caracteristicas:
Size : 4KB
MD5 : bc8bfeef7ed58531514b5dfb150d933d
SHA-1: 24a9be5e37376f4ebbf6a9b15ad3f574d9eb78ad
que tambien conviene controlar, claro!
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.
Siguenos
en facebook
Los comentarios están cerrados.