CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

15/01/2013

Inteco alerta de un virus en forma de salvapantallas de una chica 'ligera de ropa' para robar datos del equipo

Virus El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha catalogado AutoIt.RG, un troyano para la plataforma Windows que llega al sistema a través de un fichero adjunto a un correo electrónico, descargado inadvertidamente por el usuario o a través de redes P2P (de intercambio de archivos).

Este fichero simula ser un salvapantallas de una chica 'ligera de ropa' que, al intentar abrirlo, infecta el sistema y se conecta con servidores maliciosos remotos para descargar nuevo 'malware'. 

Se trata de un gusano para la plataforma windows que modifica el registro de Windows y se propaga a través de unidades extraibles conectadas al sistema. El nuevo malware abre una puerta trasera en el sistema a través de la cual un atacante malicioso podría tomar el control de nuestro equipo o robar información sensible como contraseñas, pins o números de tarjetas de crédito para enviarla al atacante remoto.

Para evitar verse infectado por este malware, Inteco aconseja eludir visitar páginas de origen dudoso, que abran muchas ventanas emergentes, con direcciones extrañas o con aspecto poco fiable. Además, se aconseja tener en cuenta unas medidas de seguridad básicas consistentes en mantener actualizado el navegador y el sistema operativo con los últimos parches publicados e instalar un antivirus actualizado en el equipo.

Fuente

MAS INFORMACION SOBRE ESTE NUEVO MALWARE

Examples of W32/AutoIt-RG include: 

Example 1

File Information

Size836K
SHA-17d2e56ffa8712072a9d61ca8f41440dfa3b6ed78
MD55497f2260591cee99db90b7d99c5eb84CRC-323664d58f
File type Windows executable
First seen 2013-01-10

Example 2

File Information

Size836K
SHA-1f12e08817c0eb329a3af7d99713c611db702d5b3
MD5 1b2c85715cbc76410bd7c3d4f6c4e88bCRC-3272bb50c9
File type Windows executable
First seen 2013-01-10

Runtime Analysis

Copies Itself To 

C:\jasmin.scr
c:\Documents and Settings\test user\Local Settings\Temp\120889\svhost.exe

Dropped Files
c:\Documents and Settings\test user\Application Data\Hybyni\pybue.exe

Size836K
SHA-17d2e56ffa8712072a9d61ca8f41440dfa3b6ed78
MD5 5497f2260591cee99db90b7d99c5eb84CRC-323664d58f
File type Windows executable
First seen 2013-01-10

Registry Keys Created
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Fuente

Como sea que, tras recibirse por mail, se propaga por pendrive, recomendamos vacunar ordenadores y pendrives con nuestra utilidad EliPen.EXE

Este malware, puede detectarse ya con nuestra utilidad EliMD5.EXE, tanto el dropper como el generado, entrando respectivamente los MD5 correspondientes:


1b2c85715cbc76410bd7c3d4f6c4e88bCRC-3272bb50c9

5497f2260591cee99db90b7d99c5eb84CRC-323664d58f

Si los detectan, pueden enviarnos muestras para controlarlas en el siguiente ElistarA.

saludos

Fuente: Zona Virus

CSIRT-CV