Una descarga del downloader sounder descarga un fakewrite que infecta con spyzbot-y

La tan conocida familia de SPY ZBOT-Y que se caracteriza por presentar dobles acentos en los textos editados en castellano (internacionalmente en inglés pasa desapercibido al no usar acentos) ha ingresado en nuestros ordenadores de monitorización al ensayar un Fakewrire descargado por un SOUNDER

A partir de la versión 30.53 del ElistarA de hoy, pasamos a controlar esta nueva variante, asi como la del Fakewrite que lo instala

El preanalisis de virustotal ofrece este informe, en el que se puede ver que aun es muy poco detectado por los actuales AV (solo 3 de 54)


MD5 17a291ae727022fab57a4cdc9711e698
SHA1 04ccf9fee190338db3b0c2f254db25487ba860b4
Tamaño del fichero 235.0 KB ( 240593 bytes )
SHA256: 98ed80821eacbb52d33a218b3b7f37196aed24a209e42127cf49444e2b007660
Nombre: 0005e995.exe
Detecciones: 3 / 54
Fecha de análisis: 2014-09-04 08:21:21 UTC ( hace 1 minuto )

0 1

Antivirus Resultado Actualización
ByteHero Virus.Win32.Heur.p 20140904
Microsoft PWS:Win32/Zbot.gen!CI 20140904
Qihoo-360 Malware.QVM03.Gen 20140904

Dicha versión del ElistarA 30.53 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

(Con la actual versión del ElistarA, ya se detecta heuristicamente, como en todas las variantes del SPY ZBOT-Y, aunque no se conozcan especificamente)

saludos

ms, 4-9-2013