MONITORIZACION DE MALWARE MBM, DOWNLOADER, EN MACROS DE DOCUMENTO DE WORDmsc hotline sat Friday, September 30, 2016 MONITORIZACION DE MALWARE MBM, DOWNLOADER, EN MACROS DE DOCUMENTO DE WORD Seguido a la Noticia de que habia un nuevo malware oculto en las macros de un documento de word con macros, recibido anexado a un mail en un ZIP : "List of Tentative Order.ZIP" -> "List of Tentative Order.DOC" Recibido anexado a un mail pasamos a informar que la macro existente descarga, copia y ejecuta un CMD, que es un autoextraible que genera un EXE de 128 MB, que está lleno de caracteres inútiles "H" dejando útiles solo unos 72 KB de código El preanalisis de virustotal del CMD en cuestión, ofrece el siguiente informe: MD5 be15322b754c54a4dfb5faf8f64d54fc SHA1 5c4225f69f5ab8b89cb8b86bf4ed7b9b9b3ec2fd File size 883.3 KB ( 904501 bytes ) SHA256: 6a1868e45ac460beee06e16bb32a956d2ee9140b83c28261eb47c4ecaf3e84e6 File name: BM.cmd Detection ratio: 16 / 57 Analysis date: 2016-09-30 08:51:09 UTC ( 41 minutes ago ) 0 1 Antivirus Result Update Avira (no cloud) TR/Dropper.Gen 20160930 Baidu Win32.Trojan.WisdomEyes.151026.9950.9999 20160930 CrowdStrike Falcon (ML) malicious_confidence_100% (D) 20160725 Cyren W32/Dropper.CE.gen!Eldorado 20160930 ESET-NOD32 a variant of MSIL/Injector.QIW 20160930 F-Prot W32/Dropper.CE.gen!Eldorado 20160926 Invincea trojan.win32.c2lop.n 20160928 K7AntiVirus EmailWorm ( 004df05b1 ) 20160930 K7GW EmailWorm ( 004df05b1 ) 20160930 Kaspersky HEUR:Trojan.Win32.Generic 20160930 McAfee-GW-Edition BehavesLike.Win32.Backdoor.cc 20160929 Qihoo-360 HEUR/QVM41.1.0000.Malware.Gen 20160930 Sophos Troj/Inject-CBY 20160930 Symantec Heur.AdvML.B 20160930 TrendMicro BKDR_TOFSEE.USWZ 20160930 TrendMicro-HouseCall BKDR_TOFSEE.USWZ 20160930 Y el fichero EXE que genera, de 128 MB, subido al METADEFENDER (dado su tamaño no lo acepta el VirusTotal), ofrece de entrada este informe en los 72 MB que considera útiles: Lyhrdb.exe Upload Scan new file First uploaded 2016-09-30 09:54:42 GMT Last scanned 2016-09-30 09:54:51 GMT Filetype Generic CIL Executable (.NET, Mono, etc.) File size 72 MB MD5 F92479420E42A05FEA9DEE6F9CE15ADC SHA1 AB78D380AC0AAA86321EC01B99A92273EF22180A SHA256 E177BE72368BC6CCE3171B3EED38F90F893D81CE21FC8847C87D57155BD5BF28 Only a few scan engines detected this file as a threat. If you think it might be a false positive, find out how to contact the engine vendor on our blog. Metascan PE Info Applications List Network Connections Loaded Components Known Vulnerabilities File Names Scan History Avira TR/Dropper.Gen ESET a variant of MSIL/Injector.QIW trojan K7 EmailWorm ( 004df05b1 ) Que como puede verse aun no lo controlan la mayoría de los AV actuales, por lo que lo enviamos tanto a McAfee como a Kaspersky para su analisis y control si procede, pero que de momento añadimos su detección a partir del ELISTARA 35.33, como malware que parece que es en un 99 %, aunque siempre caba un falso positivo, pero una macro que genere un fichero de 128 MB con mas de 50 MB de "paja", muy bueno no parece que sea ! Esperamos que nuestros fabricantes de antivirus lo controlen cuanto antes y las actualizaciones diarias de sus productos lo controlen con sus residentes, evitando que el usuario se llegue a infectar con este backdoor, keylogger o algo similar, ya que lo que vemos es que su ejecución lo deja residente en memoria, y con ello, todo es posible ... A partir de la versión 35.33 del ELISTARA de hoy pasaremos a controlar los ficheros creados por dicho malware MBM y pasaremos a eliminarlos. MUCHO CUIDADO CON TODOS LOS ANEXADOS A MAILS NO SOLICITADOS, INCLUIDOS LOS QUE APARENTEN SER INOFENSIVOS, DOCS, PDF, JPG, etc. saludos ms, 30-9-2016 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |