domingo, agosto 03, 2014
Albert López
Hace unos días pude recuperar de un ordenador una variante del malware conocido como “Omiga”, un programa que se instala como si fuera un buscador parecido a google pero que aprovecha para mostrar publicidad por lo que su creador o creadores ganan dinero y aparte instala en el ordenador unos ejecutables que funcionan como downloaders y ralentizan la conexión a internet.
El malware crea los siguientes procesos “HpUI.exe” y “Loader32” o “Loader64” el sistema que tengamos donde mutuamente se verifican, en caso de que uno de ellos sea cerrado, en alrededor de cinco segundos vuelve a ser ejecutado y viceversa, de ésta forma el malware dificulta su eliminación por funcionar mediante dos procesos en paralelo.
Al cerrar los procesos y eliminar dicha carpeta, el malware quedará completamente fuera del ordenador, aunque faltará eliminar el rastro que deja al ejecutar el navegador, donde aparecerá un buscador parecido al de google. Para ello deben modificarse las claves del registro que contengan la cadena “Omiga” y también pulsar click derecho en el icono del navegador, ir a propiedades i ver que la ruta sea la correcta
A continuación dejo el enlace de virustotal realizado sobre las muestras encontradas:
- https://www.virustotal.com/es/file/cc3e637cb6f10ad92ea8cd5953f7609fcf5e21433d0018fb612e37c3cb71e749/analysis/
- https://www.virustotal.com/es/file/8a85187aceb4d2fa31b226a1fea022d2680a2b4e8b6b90974ae6a5691f71bf1a/analysis/
- https://www.virustotal.com/es/file/be3a8304faf89856bda1198245f58c7771743dcd354d07fae987cbe888d21f66/analysis/
- https://www.virustotal.com/es/file/4714d9971c7b3082bc41221505d9e5958c07008b2edea05e580cfbf37d515b41/analysis/
Si alguien está interesado en una muestra del malware, pueden escribirme un correo electrónico a albert_lopb@killtrojan.net y sin problemas enviaré una copia comprimida y con contraseña.
Posted in: Alertas de Malware
0 comentarios:
Publicar un comentario