Publicado el 28 septiembre 2012 ¬ 13:42 pmh.mscComentarios desactivados en Mas de lo mismo con el TROYANO REVETON actual, que utiliza ficheros con nombre conocido pero cambiando la extension a DLL
Otro TROYANO REVETON de la nueva hornada, esta vez ha utilizado el nombre de ACROBAT.DLL para esconder al troyano. El preanalisis actual ofrece el siguiemte informe: SHA256: 5c93c6d19134d9e6a9323b60ac277f774ed477f2e5f1797cd836cddd208725f9 SHA1: 909f869ad102501a671deb9c39e2b98f3b6a5824 MD5: 84012484b88e372cf90b3064a5c01d8c Tamaño: 176.0 KB ( 180224 bytes ) Nombre: ACROBAT.DLL.Muestra EliStartPage v26.20 Tipo: Win32 DLL Detecciones: 8 / 43 Fecha de análisis: 2012-09-28 11:38:36 […]
Leer el resto de esta entrada »
Publicado el 28 septiembre 2012 ¬ 10:51 amh.mscComentarios desactivados en Mas incidencias del nuevo MALWARE REVETON (el de la policia), que se instala como ficheros DLL
Como deciamos ayer, un nuevo ingenio es usado en la infección del malware REVETON , y que consiste en instalar los ficheros EXE malwares como DLL, con un nombre típico de windows para algunos EXE, y lanzarlos con el RUNDLL32.EXE renombrado como LSSAS.EXE En este caso el nombre que ha elegido es el SPPOLSV, con […]
Leer el resto de esta entrada »
Publicado el 27 septiembre 2012 ¬ 19:00 pmh.mscComentarios desactivados en Nuevo ingenio en infeccion del malware REVETON (virus de la policia) -apenas controlado por los actuales antivirus (solo 2 de 42)
Recibimos tres muestras con nombres logicos (JAVA.DLL , FLASHPLAYER.DLL, CSRSS.DLL), que unido a otro ya subido al Virustotal (conhost.dll), vemos que utiliza nombres habituales de ficheros de windows Pero lo mas curioso es que para lanzarlos usa un RUNDLL32.EXE copiado en DATOS DE PROGRAMA de ALL USERS Con el nombre de LSASS.EXE, asi que el […]
Leer el resto de esta entrada »