NUEVAS VARIANTES DE BACKDOOR KIRTS QUE PASAMOS A CONTROLAR CON ELISTARA

---

Adjuntamos relación de hashes SHA1 de los ficheros resultantes de analisis/monitorización de muestras de backdoor KIRTS





"8AC21AF6757D6E7226BB94ADC46C42F826492F55" -> windrv(04).exe 288264

"3AD8FC2050E9C8AF2AF1F2531D330C1698DEB13F" -> windrv(05).exe 275976

"60023D91D149031EADDB210E75749A695D19B2F6" -> windrv(06).exe 280072

"BF290251A9FD065AFD8870810B0F52647C2957BB" -> windrv(07).exe 218632

"0362E7D77E7086FEDA7F550EB7BA79557FFB1344" -> windrv(08).exe 255528

"AA707E45FA3473336CBFCA9726C02D145991168C" -> windrv(09).exe 173576

"251E23C14A6F4F33A7D09314792AA72B571783EA" -> winmgr(08).exe 128520

"C6B2C34DE04ACD02CE8850A8A95811503B122E58" -> winmgr(09).exe 144904

"BE0C201E78A675F7A66403992CF11A2F823ACEE7" -> winmgr(10).exe 202248

"E65E7885403024FCAB5BE37E8ED96286287DFE46" -> winmgr(11).exe 165384

"44F7C7757A8B16BD16793E415F6ADF4467EC8B62" -> winmgr(12).exe 99848

"AFE305ACC90A68456652C5659A78E41F7783AF92" -> winmgr(13).exe 144904

"78CEFB836B1644810CBF33D24E6C7C9C36EDA1F2" -> winmgr(14).exe 263688

"AFC69D33C6B948B34229E07E4FDF2E8704E0692C" -> winsvc(02).exe 120328

"5F9F6E6B42B244575BA9633C3CF3E953F9524C4B" -> winsvc(03).exe 181768





que establece conexion con -





125.212.217.30:5050 que vemos que es de Vietnam:



País Vietnam

Ciudad Ho Chi Minh City

Latitud 10.814200401306

Longitud 106.64379882812

ISP Viettel Corporation



y



220.181.87.80:5050 que vemos que es de China:



País China

Ciudad Beijing

Latitud 39.928901672363

Longitud 116.38829803467

ISP China Telecom





Los winmgr son los downloaders y descargan los windrv y winsvc, instalando una clave de lanzamiento para cada uno de ellos. quedando residentes.



El primero de los winmgr indicados, que son los que descargan los demas, subido al virustotal ofrece el siguiente informe:



MD5 7fc21692a8f2a53403743ceecf94e0b6

SHA1 251e23c14a6f4f33a7d09314792aa72b571783ea

Tamaño del fichero 125.5 KB ( 128520 bytes )

SHA256: 8e972ef147b54da29d8d2185cd1c51c11b4bfc44286cae51f39c22f46400eaff

Nombre: winmgr(08).exe

Detecciones: 15 / 54

Fecha de análisis: 2016-07-01 09:04:00 UTC ( hace 5 minutos )

0

1



Antivirus Resultado Actualización

AVG Crypt5.BURJ 20160701

Avast Win32:Evo-gen 20160701

Avira (no cloud) TR/Dropper.MSIL.xhir 20160701

ESET-NOD32 a variant of Win32/Kryptik.FBFM 20160701

Fortinet MSIL/Kryptik.GNE!tr 20160701

GData Win32.Worm.Phorpiex.L8J0ID 20160701

K7AntiVirus Trojan ( 004f323c1 ) 20160701

K7GW Trojan ( 004f323c1 ) 20160701

Kaspersky Trojan-Dropper.Win32.Sysn.bspq 20160701

McAfee Artemis!7FC21692A8F2 20160701

McAfee-GW-Edition Artemis!Trojan 20160701

Panda Generic Suspicious 20160630

Sophos Mal/Generic-S 20160701

Symantec Infostealer.Limitail 20160701

Tencent Win32.Trojan-dropper.Sysn.Amwg 20160701



De todas formas vemos que van cambiando continuamente y que sobreescriben algunos ficheros del sistema, por lo que cada caso deberá ser tratado específicamente.







A partir del ELISTARA 34.88 de hoy pasaremos a controlar estas nuevas variamtes, y estará disponible en nuestra web a partir de las 15 h CEST de hoy





saludos



ms, 1-7-2016