Inicio de zonavirus, antivirus

MONITORIZACION DE MALWARE MBM, DOWNLOADER, EN MACROS DE DOCUMENTO DE WORD

msc hotline sat
Friday, September 30, 2016

MONITORIZACION DE MALWARE MBM, DOWNLOADER, EN MACROS DE DOCUMENTO DE WORD





Seguido a la Noticia de que habia un nuevo malware oculto en las macros de un documento de word con macros, recibido anexado a un mail en un ZIP :





"List of Tentative Order.ZIP" -> "List of Tentative Order.DOC"



Recibido anexado a un mail pasamos a informar que la macro existente descarga, copia y ejecuta un CMD, que es un autoextraible que genera un EXE de 128 MB, que está lleno de caracteres inútiles "H" dejando útiles solo unos 72 KB de código



El preanalisis de virustotal del CMD en cuestión, ofrece el siguiente informe:





MD5 be15322b754c54a4dfb5faf8f64d54fc

SHA1 5c4225f69f5ab8b89cb8b86bf4ed7b9b9b3ec2fd

File size 883.3 KB ( 904501 bytes )

SHA256: 6a1868e45ac460beee06e16bb32a956d2ee9140b83c28261eb47c4ecaf3e84e6

File name: BM.cmd

Detection ratio: 16 / 57

Analysis date: 2016-09-30 08:51:09 UTC ( 41 minutes ago )

0

1



Antivirus Result Update

Avira (no cloud) TR/Dropper.Gen 20160930

Baidu Win32.Trojan.WisdomEyes.151026.9950.9999 20160930

CrowdStrike Falcon (ML) malicious_confidence_100% (D) 20160725

Cyren W32/Dropper.CE.gen!Eldorado 20160930

ESET-NOD32 a variant of MSIL/Injector.QIW 20160930

F-Prot W32/Dropper.CE.gen!Eldorado 20160926

Invincea trojan.win32.c2lop.n 20160928

K7AntiVirus EmailWorm ( 004df05b1 ) 20160930

K7GW EmailWorm ( 004df05b1 ) 20160930

Kaspersky HEUR:Trojan.Win32.Generic 20160930

McAfee-GW-Edition BehavesLike.Win32.Backdoor.cc 20160929

Qihoo-360 HEUR/QVM41.1.0000.Malware.Gen 20160930

Sophos Troj/Inject-CBY 20160930

Symantec Heur.AdvML.B 20160930

TrendMicro BKDR_TOFSEE.USWZ 20160930

TrendMicro-HouseCall BKDR_TOFSEE.USWZ 20160930



Y el fichero EXE que genera, de 128 MB, subido al METADEFENDER (dado su tamaño no lo acepta el VirusTotal), ofrece de entrada este informe en los 72 MB que considera útiles:



Lyhrdb.exe

Upload Scan new file

First uploaded 2016-09-30 09:54:42 GMT

Last scanned 2016-09-30 09:54:51 GMT

Filetype Generic CIL Executable (.NET, Mono, etc.)

File size 72 MB

MD5 F92479420E42A05FEA9DEE6F9CE15ADC

SHA1 AB78D380AC0AAA86321EC01B99A92273EF22180A

SHA256 E177BE72368BC6CCE3171B3EED38F90F893D81CE21FC8847C87D57155BD5BF28

Only a few scan engines detected this file as a threat. If you think it might be a false positive, find out how to contact the engine vendor on our blog.

Metascan

PE Info

Applications List

Network Connections

Loaded Components

Known Vulnerabilities

File Names

Scan History





Avira TR/Dropper.Gen

ESET a variant of MSIL/Injector.QIW trojan

K7 EmailWorm ( 004df05b1 )



Que como puede verse aun no lo controlan la mayoría de los AV actuales, por lo que lo enviamos tanto a McAfee como a Kaspersky para su analisis y control si procede, pero que de momento añadimos su detección a partir del ELISTARA 35.33, como malware que parece que es en un 99 %, aunque siempre caba un falso positivo, pero una macro que genere un fichero de 128 MB con mas de 50 MB de "paja", muy bueno no parece que sea !



Esperamos que nuestros fabricantes de antivirus lo controlen cuanto antes y las actualizaciones diarias de sus productos lo controlen con sus residentes, evitando que el usuario se llegue a infectar con este backdoor, keylogger o algo similar, ya que lo que vemos es que su ejecución lo deja residente en memoria, y con ello, todo es posible ...



A partir de la versión 35.33 del ELISTARA de hoy pasaremos a controlar los ficheros creados por dicho malware MBM y pasaremos a eliminarlos.





MUCHO CUIDADO CON TODOS LOS ANEXADOS A MAILS NO SOLICITADOS, INCLUIDOS LOS QUE APARENTEN SER INOFENSIVOS, DOCS, PDF, JPG, etc.



saludos



ms, 30-9-2016

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
© 1998-2024 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto