Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
15/01/2013
Este fichero simula ser un salvapantallas de una chica 'ligera de ropa' que, al intentar abrirlo, infecta el sistema y se conecta con servidores maliciosos remotos para descargar nuevo 'malware'.
Se trata de un gusano para la plataforma windows que modifica el registro de Windows y se propaga a través de unidades extraibles conectadas al sistema. El nuevo malware abre una puerta trasera en el sistema a través de la cual un atacante malicioso podría tomar el control de nuestro equipo o robar información sensible como contraseñas, pins o números de tarjetas de crédito para enviarla al atacante remoto.
Para evitar verse infectado por este malware, Inteco aconseja eludir visitar páginas de origen dudoso, que abran muchas ventanas emergentes, con direcciones extrañas o con aspecto poco fiable. Además, se aconseja tener en cuenta unas medidas de seguridad básicas consistentes en mantener actualizado el navegador y el sistema operativo con los últimos parches publicados e instalar un antivirus actualizado en el equipo.
Fuente
MAS INFORMACION SOBRE ESTE NUEVO MALWARE
Examples of W32/AutoIt-RG include:
Example 1
File Information
Size836K
SHA-17d2e56ffa8712072a9d61ca8f41440dfa3b6ed78
MD55497f2260591cee99db90b7d99c5eb84CRC-323664d58f
File type Windows executable
First seen 2013-01-10
Example 2
File Information
Size836K
SHA-1f12e08817c0eb329a3af7d99713c611db702d5b3
MD5 1b2c85715cbc76410bd7c3d4f6c4e88bCRC-3272bb50c9
File type Windows executable
First seen 2013-01-10
Runtime Analysis
Copies Itself To
C:\jasmin.scr
c:\Documents and Settings\test user\Local Settings\Temp\120889\svhost.exe
Dropped Files
c:\Documents and Settings\test user\Application Data\Hybyni\pybue.exe
Size836K
SHA-17d2e56ffa8712072a9d61ca8f41440dfa3b6ed78
MD5 5497f2260591cee99db90b7d99c5eb84CRC-323664d58f
File type Windows executable
First seen 2013-01-10
Registry Keys Created
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Fuente
Como sea que, tras recibirse por mail, se propaga por pendrive, recomendamos vacunar ordenadores y pendrives con nuestra utilidad EliPen.EXE
Este malware, puede detectarse ya con nuestra utilidad EliMD5.EXE, tanto el dropper como el generado, entrando respectivamente los MD5 correspondientes:
1b2c85715cbc76410bd7c3d4f6c4e88bCRC-3272bb50c9
5497f2260591cee99db90b7d99c5eb84CRC-323664d58f
Si los detectan, pueden enviarnos muestras para controlarlas en el siguiente ElistarA.
saludos