Con una imagen de un mail de MOVISTAR (Falso) llega adjunto un fichero con ROOTKIT SPYZBOT AA de cuyas caracteristicas informamos tras la imagen de como llega dicho spam:
Al ejecutar el fichero adjunto se instala en el ordenador un sofisticado rootkit SPY ZBOT AA, del que ya conocíamos una versión anterior, que cuando está en uso se oculta y dificulta su detección y eliminación, delatandose por la aparición de dobles acentos, cuando se acentúa un texto, lo cual solo ocurre el idiomas como el nuestro que hay carácteres acentuados, no siendo el caso del inglés por ejemplo.
Al instalarse en el ordenador, coge el nombre de un fichero existente y se copia en una carpeta de nombre normal, lo cual hace mas dificil la localización visual, pero lo que es peor es que, si se detecta y elimina en modo normal, reaparece en el siguiente reinicio, por lo que conviene efectuar el analisis y limpieza ARRANCANDO EN MODO SEGURO, con lo cual a partir del ELISTARA 23.82 se detecta y elimina sin problemas, pero no asi en modo normal…
El preanalisis de virus total ofrece el siguiente informe:
MD5 607a01017898dd20f11fdc8e2bbee48b
SHA1 9fe7de6077d10e026eb3160b596549d20b5534a0
File size 268.4 KB ( 274848 bytes )
SHA256: f875cde8605a3e207e3b1a9d8c852bd10c868a74a00e54290590af8122864998
File name: formulario 30 julio 2015.PDF.doß.exe
Detection ratio: 4 / 56
Analysis date: 2015-07-30 09:33:44 UTC ( 2 minutes ago )
0 1
Antivirus Result Update
Kaspersky UDS:DangerousObject.Multi.Generic 20150730
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20150730
Rising PE:Malware.Obscure/Heur!1.9E03 20150728
Symantec Suspicious.Cloud.5 20150730
Como ya han visto algunos de los usuarios que nos han llamado al respecto, el fichero resultante de desempaquetar el anexo, tiene doble extension:
File name: formulario 30 julio 2015.PDF.doß.exe
para despistar, aparentando ser un PDF cuando realmente es un EXE ..
Como se ve, McAfee aun no lo detecta, por lo que ya le hemos enviado muestra para que añadan su control y eliminacion en la próxima version del VirusScan
Dicha versión del ELISTARA 32.82 que lo detecta y elimina (EN MODO SEGURO) estará disponible en nuestra web a partir de las 15 h CEST de hoy
saludos
ms, 30-7-2015