viernes, 22 de enero de 2010

Otro bicho por messenger III

Como era de esperarse, para mantenerse en actividad tuvieron que realizar unos cambios mas drásticos que los anteriores:


-Nuevo dominio de conexión: aschex.rr.nu al mismo puerto que las versiones anteriores (27034), ahora la contraseña de sesión es “aaa”.


-El dominio que envía los mensajes aaa.5268.com, los nombres mas actualizados de los archivos de infección son: “hi5.exe” y “carts.exe”.


-También cambiaron la clave de registro que utiliza para autoejecutarse cuando reinicia el sistema, ahora es: “Java Update”, por lo tanto es script anterior queda obsoleto.


-Nuevo nombre del proceso en ejecución: “wms.exe”. La carpeta donde se almacena el archivo para autoarranque sigue siendo la misma.


El nuevo script para desinfectar sería el siguiente:


@echo off


echo Eliminando archivo copiado locamente


rmdir /s /q %TEMP%\IXP000.TMP


rmdir /s /q %TEMP%\IXP001.TMP


rmdir /s /q %TEMP%\IXP002.TMP


rmdir /s /q %TEMP%\IXP003.TMP


echo Eliminando la clave del registro


reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v "Java Update"


Pocos antivirus detectan las últimas versiones, acabo de subir un “hi5.exe” a virustotal y tan solo 2 lo detectan como troyano.

No hay comentarios:

Publicar un comentario