sábado, 27 de marzo de 2010

Trollano Peligroso: PWS "Generic PWS.aq".

hola chicos, un trollano peligroso esta operando en varios sistemas windows, y dicen las malas lenguas que en linux tambien en windows opera de la siguiente
manera.
Usando la librería de sistema WINMM.DLL el troyano PWS "Generic PWS.aq". que puede tener cualquier extension, incluso .old, .bak, .dat , etc, hace su funcion
de cazapasswords, pero lo especial en este caso es que traa detectarlo y eliminarlo, se regenera en 2 segundos... 
Y para mas INRI, aunque el fichero no se replica, se instala en una clave no visible, con lo que no se sabe el nombre que utiliza el malware: 

"midi9"="%ruta%\\%nombre%.dll 
El nombre con que lo detectan algunos antivirus es: 
Trojan-PSW.Win32.Kates.ad (Kaspersky)
Generic PWS.aq (McAfee)
Win32/Daonol.AK (NOD32)
Trojan:Win32/Daonol.H (Microsoft)
Trojan.AuxSpy.129 (DrWeb)
PSW.Generic7.AXVN (AVG) 
pero lo malo es que tras detectarlo y eliminarlo con cualquiera de ellos, se regenera casi instantaneamente...
No es el primero que se aprovecha del WinMM.DLL lanzado desde el Appinit y se regenera, lo cual es propio de los ficheros de sistema, pero malo es que
lo utilice este malware, ya que dificulta su eliminacion y es un cazapasswords !!! 
Y por si fuera poco, dicha clave y lanzamiento del malware se realiza igualmente arrancando en MODO SEGURO ... 
Una manera muy avanzada para lograr su proposito, y lo peor es que deja ak usuario contento y engañado, ya que se piensa haberlo eliminado, pues asi lo
dice el antivirus, pero tras ello se regenera y vuelve a hacer de las suyas ! 
Y como todos los cazapasswords tiene alto riesgo y aconsejamos se notifique al Banco o entidad de ahorros para que cambie numeros de cuenta, passwords y
demás, y controle movimiento de caudales de las cuentas afectadas, pidiendo conformidad para transferencias o cambios de cierto riesgo... 
Esperamos que sea la solucion ante esta picaresca tan singular como peligrosa, y que nos tememos que pueda ser el principio de una nueva gama de troyanos
muy muy resistentes...

Seguridad Informática.
Publicado por en No hay comentarios:
Etiquetas:
Suscribirse a: Entradas (Atom)