NUEVO MALWARE JBCSS QUE LLEGA EN LA MACRO DE UN DOC QUE DESCARGA FICHERO CIFRADO CON XORmsc hotline sat Friday, October 28, 2016 Recibimos muestra de fichero DOC, cuya macro descarga ficheros con enlace y descarga de una web maliciosa: http://njstat.com/jb.css El fichero que descarga está cifrado con XOR, que una vez descifrado resulta ser un ejecutable que pasamos a controlar a partir del ELISTARA 35.52 de hoy. El preanalisis de virustotal del fichero descifrado, ofrece el siguiente informe: MD5 809d3b9cdbc7ba8847cc4ef8d8de512d SHA1 f29d4849a3053efff95c160519ce47cf381f8c03 File size 560.0 KB ( 573440 bytes ) SHA256: 172f359baa478d80a9a8eccde0393e3fb8a58f0444a1b71d99d87c6a50855297 File name: 809d3b9cdbc7ba8847cc4ef8d8de512d Detection ratio: 14 / 57 Analysis date: 2016-10-28 06:44:13 UTC ( 1 hour, 15 minutes ago ) 0 1 Antivirus Result Update AVG Generic_s.KPK 20161028 AegisLab Troj.Dropper.W32.Injector.mBY3 20161028 Avast Win32:CrypVault-A 20161027 Baidu Win32.Trojan.WisdomEyes.16070401.9500.9730 20161028 CrowdStrike Falcon (ML) malicious_confidence_100% (W) 20161024 DrWeb BackDoor.Siggen.60255 20161028 ESET-NOD32 a variant of Generik.KGHJKEO 20161028 Invincea ransom.win32.crowti.a 20161018 Kaspersky Trojan.Win32.Crypt.eql 20161028 McAfee Artemis!809D3B9CDBC7 20161028 McAfee-GW-Edition BehavesLike.Win32.Autorun.hc 20161028 Qihoo-360 Win32/Trojan.31c 20161028 Rising Malware.Generic!0zdJDK1dIQQ@5 (thunder) 20161028 Symantec Heur.AdvML.B 20161028 De todas formas, parece que hay algun error en el código de esta versión , pues hemos tenido que extraer el EXE manualmente, al no hacerlo automáticamente el proceso de la macro (???) Dicha versión del ELISTARA 35.52 que lo detecta y elimina, estará disponible en nuestra web a partir del 29-10-2016 Vemos que pudiera ser un keylogger, ya que provoca el doble acento típico de los SPYZBOT, y que delata su presencia. FINALMENTE Y DADO LO INDICADO, LO CONTROLAREMOS COMO SPYZBOT-W COMO OTRO MUY SIMLAR QUE YA CONTROLAMOS saludos ms, 29-10-2016 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |