Nueva variante de malware SPY.BANKER

Responder
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Nueva variante de malware SPY.BANKER

Mensaje por msc hotline sat » 18 Jul 2011, 10:45

Cambia el fichero HOSTS redirigiendo a paginas phishing de varios bancos, en las que intenta capturar cuenta y password aprovechando la buena fe de los usuarios...



A partir del ELISTARA 23.65, además de detectar el HOSTS cambiado y ofrecer su restauracion, se detecta por cadenas el fichero malware y se pasa a controlar



El preanalisis del VirusTotal nos ofrece este informe:





File name:

61B2.exe

Submission date:

2011-07-18 07:20:23 (UTC)

Current status:

finished

Result:

10/ 43 (23.3%)



VT Community



malware

Safety score: 0.0%

Compact

Print results

Antivirus Version Last Update Result

AhnLab-V3 2011.07.18.01 2011.07.18 -

AntiVir 7.11.11.177 2011.07.18 -

Antiy-AVL 2.0.3.7 2011.07.15 -

Avast 4.8.1351.0 2011.07.18 -

Avast5 5.0.677.0 2011.07.18 -

AVG 10.0.0.1190 2011.07.17 -

BitDefender 7.2 2011.07.18 -

CAT-QuickHeal 11.00 2011.07.18 -

ClamAV 0.97.0.0 2011.07.18 -

Commtouch 5.3.2.6 2011.07.18 -

Comodo 9421 2011.07.18 Heur.Suspicious

DrWeb 5.0.2.03300 2011.07.18 -

Emsisoft 5.1.0.8 2011.07.18 -

eSafe 7.0.17.0 2011.07.17 -

eTrust-Vet 36.1.8446 2011.07.15 -

F-Prot 4.6.2.117 2011.07.18 -

F-Secure 9.0.16440.0 2011.07.18 -

Fortinet 4.2.257.0 2011.07.18 W32/Refroso.AGEA!tr

GData 22 2011.07.18 -

Ikarus T3.1.1.104.0 2011.07.18 -

Jiangmin 13.0.900 2011.07.14 -

K7AntiVirus 9.108.4911 2011.07.15 -

Kaspersky 9.0.0.837 2011.07.18 UDS:DangerousObject.Multi.Generic

McAfee 5.400.0.1158 2011.07.18 Generic.grp!g

McAfee-GW-Edition 2010.1D 2011.07.18 Heuristic.LooksLike.Win32.SuspiciousPE.J!87

Microsoft 1.7000 2011.07.18 -

NOD32 6302 2011.07.18 a variant of Win32/Injector.HVH

Norman 6.07.10 2011.07.17 -

nProtect 2011-07-17.01 2011.07.17 -

Panda 10.0.3.5 2011.07.17 Trj/CI.A

PCTools 8.0.0.5 2011.07.13 -

Prevx 3.0 2011.07.18 Medium Risk Malware

Rising 23.66.04.03 2011.07.15 -

Sophos 4.67.0 2011.07.18 Troj/VB-FJW

SUPERAntiSpyware 4.40.0.1006 2011.07.18 -

Symantec 20111.1.0.186 2011.07.18 -

TheHacker 6.7.0.1.257 2011.07.18 -

TrendMicro 9.200.0.1012 2011.07.18 -

TrendMicro-HouseCall 9.200.0.1012 2011.07.18 -

VBA32 3.12.16.4 2011.07.15 -

VIPRE 9890 2011.07.18 Trojan.Win32.Generic!BT

ViRobot 2011.7.18.4574 2011.07.18 -

VirusBuster 14.0.128.0 2011.07.17 -

Additional information

MD5 : 6a67772947cf7985fc1f64c3506279f7

SHA1 : 79b1d7007affc52298bd24c8854ae68724f1715a



File size : 114688 bytes





publisher....: FB Registered Mark

copyright....: n/a

product......: KELLOGGS

description..: n/a

original name: APLICACION PARA FACEBOOK.exe

internal name: APLICACION PARA FACEBOOK

file version.: 75.75.0043





Cabe mencionar que al HOSTS por él creado le pone atrinuto de solo lectura (R) para hacerlo mas dificil cambiar, lo cual no es impedimmento para nuestro ELISTARA



Y que no queda residente en memoria, simplemente redirige estas webs a una pagina maliciosa:



avvillas.com.co

http://www.avvillas.com.co

bancocajasocial.com.co

http://www.bancocajasocial.com.co

bancopopular.com.co

http://www.bancopopular.com.co

banesco.com

http://www.banesco.com

banfoandes.com.ve

http://www.banfoandes.com.ve

bbva.com.co

http://www.bbva.com.co

bodinternet.com

http://www.bodinternet.com

cajasocial.com

http://www.cajasocial.com

colmena.com.co

http://www.colmena.com.co

colpatria.com

http://www.colpatria.com

davivienda.com

http://www.davivienda.com

grupobancolombia.com

http://www.grupobancolombia.com

grupohelm.com

http://www.grupohelm.com

provincial.com

http://www.provincial.com

bfc.com.ve

http://www.bfc.com.ve

bancodeoccidente.com.co

http://www.bancodeoccidente.com.co



Dicha version ELISTARA 23.65 que lo detecta y elimina , estará disponible en nuestra web a partir de las 19 h CEST de hoy



saludos



ms, 18-7-2011

Responder

Volver a “Foro Spyware”