http://blog.trendmicro.com/trendlabs-se ... authority/
Gootkit est un banker de type "filess" ( lire Malware 'FileLess' : PoweLiks, Kovter, Gootkit.
Ce dernier utilise des courriels se faisant passer pour le ministère de la Justice.
La pièce jointe est un document Microsoft Word avec un scan d'un document officiel :Copy du jugement (translated to: “Copy of judgment”)
L’information sur la comptabilité (translated to: “The information on accounting”)
Paiement (translated to: “Payment”)
Urgent
Le document Word embarque une macro malveillante chargée de télécharger et d'exécuter le malware sur Windows ( lire : Documents XLS malveillants : macros-commandes VBA+PowerShell ).
La partie intéressante est qu'il exécute "explorer.exe" avec le paramètre "issdb" afin de spécifier le nom d'un fichier SDB ( Application Compatibility Database ) dans le but de télécharger Gootkit.
La méthode de désinfection de Gootkit / Wonton est sur supprimer-virus.com