Nuevo virus que se propaga por msn Buxhome.exe

Se ha descubierto un nuevo virus que aprobecha el programa de mensajeria instantánea messenger para propagarse mediante un archivo con el siguiente mensaje:


El archivo al ser descargado tiene la imágen de una fotografia como si fuera un jpg para engañar a los usuarios y se infecten. Además el archivo es un .cab hecho con winrar que al ejecutarlo el virus se ejecuta automaticamente aprovechando la opción "self-extractor".

Copia los siguientes ficheros en la máquina infectada:

C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP
C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\PA-PAC~1.EXE
C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\TMP4351$.TMP

También crea el siguiente fichero y le crea un proceso para que se ejecute:

C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\PA-PAC~1.EXE

El archivo PA-PAC al ejecutarse enseña un mensaje como el siguiente y crea un archivo en la siguiente ruta:

Picture cant not be displayed

C:\WINDOWS\fxstaller.exe

Aparte también se conecta a un canal del irc logueandose con usuario y contraseña. Añadir que cambia el valor de gran cantidad de claves del registro y en el análisis que he hecho no descarto que añada algúna dll maliciosa.

Posted in: Alertas de Malware,Notícias