Pessoal,
Tive acesso ao arquivo e fiz a análise (obrigado Weyne Jr) e realmente trata-se de um malware banker.
O malware tem 6,47 MB enquanto o Ares legítimo possue 2,26 MB. O ícone do malware é idêntico ao do programa verdadeiro.
A fim de ajudar as pessoas que cairam no golpe, vou listar abaixo os arquivos que são criados pela praga:
Arquivos:
C:\Arquivos de programas\Symantec Security\Instalando.MANIFEST
C:\Arquivos de programas\Symantec Security\Javaxys.exe
C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Javaxys.exe
C:\WINDOWS\system32\Java\bin\install.bat
C:\WINDOWS\system32\Java\bin\installer.exe
C:\WINDOWS\system32\Java\bin\javavm.exe
C:\WINDOWS\system32\SysRescue.exe
C:\WINDOWS\system32\TS45.SYS (Rootkit)
C:\WINDOWS\system32\Versão_1.0.0.7.Dll
C:\WINDOWS\Tasks\startt.job
C:\autoexec.bat
Entradas no HijackThis:
O4 - HKLM\..\Run: [Javaxys] C:\Arquivos de programas\Symantec Security\Javaxys.exe
O4 - HKLM\..\Run: [SysRescue.exe] C:\Windows\System32\SysRescue.exe
Alguns arquivos criados por essa infecção já são removidos pelo
Bankerfix da Linha Defensiva. Os que ainda não são serão adicionados na próxima atualização.
Se alguém aqui caiu no golpe, sugiro que executem o Bankerfix.
Att,