15 ene 2010

'test.exe' se propaga por messenger

Que tal, esta vez hemos recibido un correo en el cual aparece un link para descargar un archivo relacionado con una prueba.

Al descargarlo y ser analizado por diversas firmas antivirus, pocos son los que lo reconocen como amenaza.


La información digital de la muestra es:

Dicho ejecutable tiene un comportamiento muy parecido a uno que analizamos anteriormente.
Al ser ejecutado, muestra una ventana, en la cual aparece un error para abrir una imagen.


Se carga en memoria el proceso test.exe


Al hacer clic en aceptar, se ejecuta el proceso nigeria.exe.exe que efectúa una conexión a un servidor IRC con IP 210.x.x.36 por el puerto 27034



Los datos de conexión a la botnet son los mismos que el ejecutable analizado aquí, anteriormente.

Fuente: Blog de Proyecto Malware - UNAM CERT

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!