{"id":1298,"date":"2015-07-31T09:17:11","date_gmt":"2015-07-31T07:17:11","guid":{"rendered":"http:\/\/www.satinfo.es\/noticies\/?p=1298"},"modified":"2015-07-31T09:17:11","modified_gmt":"2015-07-31T07:17:11","slug":"otro-falso-mail-de-movistar-pidiendo-envio-de-datos-con-anexado-de-rootkit-spyzbot-aa","status":"publish","type":"post","link":"https:\/\/www.satinfo.es\/noticies\/2015\/otro-falso-mail-de-movistar-pidiendo-envio-de-datos-con-anexado-de-rootkit-spyzbot-aa\/","title":{"rendered":"OTRO FALSO MAIL DE MOVISTAR PIDIENDO ENVIO DE DATOS, CON ANEXADO DE ROOTKIT SPYZBOT AA"},"content":{"rendered":"<p>Con una imagen de un mail de MOVISTAR (Falso) llega adjunto un fichero con ROOTKIT SPYZBOT AA de cuyas caracteristicas informamos tras la imagen de como llega dicho spam:<\/p>\n<p><a href=\"https:\/\/www.satinfo.es\/blog\/wp-content\/uploads\/2015\/07\/spam-movistar-30-7-2015.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-62218\" src=\"https:\/\/www.satinfo.es\/blog\/wp-content\/uploads\/2015\/07\/spam-movistar-30-7-2015.jpg\" alt=\"spam movistar 30-7-2015\" width=\"956\" height=\"428\" \/><\/a><\/p>\n<p>Al ejecutar el fichero adjunto se instala en el ordenador un sofisticado rootkit SPY ZBOT AA, del que ya conoc\u00edamos una versi\u00f3n anterior, que cuando est\u00e1 en uso se oculta y dificulta su detecci\u00f3n y eliminaci\u00f3n, delatandose por la aparici\u00f3n de dobles acentos, cuando se acent\u00faa un texto, lo cual solo ocurre el idiomas como el nuestro que hay car\u00e1cteres acentuados, no siendo\u00a0el caso del ingl\u00e9s por ejemplo.<\/p>\n<p>Al instalarse en el ordenador, coge el nombre de un fichero existente y se copia en una carpeta de nombre normal, lo cual \u00a0hace mas dificil la localizaci\u00f3n visual, pero lo que es peor es que, si se detecta y elimina en modo normal, reaparece en el siguiente reinicio, por lo que conviene efectuar el analisis y limpieza ARRANCANDO EN MODO SEGURO, con lo cual a partir del ELISTARA 23.82 se detecta y elimina sin problemas, pero no asi en modo normal&#8230;<\/p>\n<p>El preanalisis de virus total ofrece el siguiente informe:<br \/>\nMD5 607a01017898dd20f11fdc8e2bbee48b<br \/>\nSHA1 9fe7de6077d10e026eb3160b596549d20b5534a0<br \/>\nFile size 268.4 KB ( 274848 bytes )<br \/>\nSHA256: f875cde8605a3e207e3b1a9d8c852bd10c868a74a00e54290590af8122864998<br \/>\nFile name: formulario 30 julio 2015.PDF.do\u00df.exe<br \/>\nDetection ratio: 4 \/ 56<br \/>\nAnalysis date: 2015-07-30 09:33:44 UTC ( 2 minutes ago )<\/p>\n<p>0 1<\/p>\n<p>Antivirus Result Update<br \/>\nKaspersky UDS:DangerousObject.Multi.Generic 20150730<br \/>\nQihoo-360 HEUR\/QVM20.1.Malware.Gen 20150730<br \/>\nRising PE:Malware.Obscure\/Heur!1.9E03 20150728<br \/>\nSymantec Suspicious.Cloud.5 20150730<\/p>\n<p>Como ya han visto algunos de los usuarios que nos han llamado al respecto, el fichero resultante de desempaquetar el anexo, tiene doble extension:<\/p>\n<p><strong>File name: formulario 30 julio 2015.PDF.do\u00df.exe<\/strong><\/p>\n<p>para despistar, aparentando ser un PDF cuando realmente es un EXE ..<\/p>\n<p>Como se ve, McAfee aun no lo detecta, por lo que ya le hemos enviado muestra para que a\u00f1adan su control y eliminacion en la pr\u00f3xima version del VirusScan<\/p>\n<p>Dicha versi\u00f3n del ELISTARA 32.82 que lo detecta y elimina (EN MODO SEGURO) estar\u00e1 disponible en nuestra web a partir de las 15 h CEST de hoy<\/p>\n<p>saludos<\/p>\n<p>ms, 30-7-2015<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Con una imagen de un mail de MOVISTAR (Falso) llega adjunto un fichero con ROOTKIT SPYZBOT AA de cuyas caracteristicas informamos tras la imagen de como llega dicho spam: Al ejecutar el fichero adjunto se instala en el ordenador un sofisticado rootkit SPY ZBOT AA, del que ya conoc\u00edamos una versi\u00f3n anterior, que cuando est\u00e1 <a href='https:\/\/www.satinfo.es\/noticies\/2015\/otro-falso-mail-de-movistar-pidiendo-envio-de-datos-con-anexado-de-rootkit-spyzbot-aa\/' class='excerpt-more'>[&#8230;]<\/a><\/p>\n","protected":false},"author":5,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[655,891,892],"tags":[769,749,770,771],"class_list":["post-1298","post","type-post","status-publish","format-standard","hentry","category-655","category-otros","category-todos","tag-falso-mail","tag-movistar","tag-rootkit","tag-spyzbot","category-655-id","category-891-id","category-892-id","post-seq-1","post-parity-odd","meta-position-corners","fix"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts\/1298","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/comments?post=1298"}],"version-history":[{"count":0,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts\/1298\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/media?parent=1298"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/categories?post=1298"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/tags?post=1298"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}