Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
15/01/2013
Inteco alerta d'un virus en forma de salvapantallas d'una xica 'ligera de ropa' per a robar dades de l'equip
L’Institut Nacional de Tecnologies de la Comunicació (INTECO) ha catalogat autoit.RG, un troià per a la plataforma Windows que arriba al sistema a través d’un fitxer adjunt a un correu electrònic, descarregat inadvertidament per l’usuari o a través de xarxes P2P (d’intercanvi d’arxius)
Este fitxer simula ser un salvapantalles d’una xica 'lleugera de roba' que en intentar obrir-lo, infecta el sistema i es connecta amb servidors maliciosos remots per a descarregar 'malware' nou.
Es tracta d’un cuc per a la plataforma Windows que modifica el registre de Windows i es propaga a través d’unitats extraïbles connectades al sistema. El nou malware obri una porta posterior en el sistema a través de la qual un atacant maliciós podria prendre el control del nostre equip o robar informació sensible com ara contrasenyes, pins o números de targetes de crèdit per a enviar-lo a l’atacant remot.
Per a evitar veure’s infectat per este malware, Inteco aconsella eludir visitar pàgines d’origen dubtós, que òbriguen moltes finestres emergents, amb adreces estranyes o amb aspecte poc fiable. A més, s’aconsella tindre en compte unes mesures de seguretat bàsiques consistents a mantindre actualitzat el navegador i el sistema operatiu amb els últims pedaços publicats i instal·lar un antivirus actualitzat en l’equip.
MES INFORMACIÓ SOBRE AQUEST NOU MALWARE
Examples of W32/AutoIt-RG include:
Example 1
File Information
Size836K
SHA-17d2e56ffa8712072a9d61ca8f41440dfa3b6ed78
MD55497f2260591cee99db90b7d99c5eb84CRC-323664d58f
File type Windows executable
First seen 2013-01-10
Example 2
File Information
Size836K
SHA-1f12e08817c0eb329a3af7d99713c611db702d5b3
MD5 1b2c85715cbc76410bd7c3d4f6c4e88bCRC-3272bb50c9
File type Windows executable
First seen 2013-01-10
Runtime Analysis
Copies Itself To
C:\jasmin.scr
c:\Documents and Settings\test user\Local Settings\Temp\120889\svhost.exe
Dropped Files
c:\Documents and Settings\test user\Application Data\Hybyni\pybue.exe
Size836K
SHA-17d2e56ffa8712072a9d61ca8f41440dfa3b6ed78
MD5 5497f2260591cee99db90b7d99c5eb84CRC-323664d58f
File type Windows executable
First seen 2013-01-10
Registry Keys Created
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Com siga que, després de rebre’s per correu electrònic, es propaga per memòria USB, recomanem vacunar ordinadors i memòries USB amb la nostra utilitat EliPen.EXE
Este malware, pot detectar-se ja amb la nostra utilitat EliMD5.EXE, tant el dropper com el generat, entrant respectivament els MD5 corresponents:
1b2c85715cbc76410bd7c3d4f6c4e88bCRC-3272bb50c9
5497f2260591cee99db90b7d99c5eb84CRC-323664d58f
Si els detecten, poden enviar-nos mostres per a controlar-los en el següent ElistarA.
Salutacions.