Inicio de zonavirus, antivirus

MUESTRA PEDIDA POR EL ELISTARA DEL FICHERO UFVCICC.EXE

msc hotline sat
Tuesday, March 20, 2018

MUESTRA PEDIDA POR EL ELISTARA DEL FICHERO UFVCICC.EXE





Nos llega una muestra pedida por el ELISTARA, según:



UFVCICC.EXE.Muestra EliStartPage v38.68




con el MD5 siguiente:





8886e0697b0a93c521f99099ef643450



El cual subido a virustotal ofrece le siguiente informe:



https://www.virustotal.com/es/file/d73f7ee4e6e992a618d02580bdbf4fd6ba7c683d110928001092f4073341e95f/analysis/1521558129/



Si bien no es propiamente el virus sino un wscript.exe que utilizan para lanzar algun .js malicioso, el MD5 en cuestión, subido a virustotal, nos indica que ningun antivirus lo considera virus, por ello todos los nombres con los que se ha subido son "compañeros" de los virus que lo utilizan, pero no propiamente el virus:



Nombre de fichero que, segun virustotal, han utilizado dicho Wscript.exe cambiado de nombre:



ljtqyw.exe

iqrtywpb64.exe

SystemProtection.exe

imm-flt-313305

7c4b06a6cdd9d20125010000641f8818_wscript.exe

hpupdate32.exe

skmmws32.exe

d1ab72db2bedd2f255d35da3da0d4b16.exes

wscript.exe

lxjcpgsq.exe

2eab75f40bec052c84d04ea7dfe7bee32256e817.exe

WScript.exe

chctotc.exe_

yxgpbytw64.exe

3da14d.tmpscan

mssys.exe

89865548f1bdd2012501000064297c21_wscript.exe

gwxyadgi.exe

kmwhtr.exe

ocjrwlsvu.exe

dllupdate32.exe

wscript.exe

rmhucpnqa64.exe

cbe4d4ff0e33a764f05af4361821ffac

svchost.exe



y los datos correspondientes al fichero original son:



Trusted Source

Organization

Microsoft Corporation

File name

wscript.exe

Signature Info

Signature Verification

Signed file, valid signature

File Version Information

Copyright

© Microsoft Corporation. All rights reserved.

Product

Microsoft ® Windows Script Host

Description

Microsoft ® Windows Based Script Host

Original Name

wscript.exe

Internal Name

wscript.exe

File Version

5.8.7600.16385

Date signed

4:17 AM 7/14/2009

Signers



Microsoft Windows

Microsoft Windows Verification PCA



Por ello, aunque el ELISTARA lo aparca, pidiendo muestra para analizar, es gracias a ver que la clave donde lo lanza es propia de ser usado por algun malware, no por el Wscript.exe normalmente usado.



Evidentemente con el SPROCES se podrá ver la clave que lo usa y en consecuencia el .js que lo utiliza, lo cual el usuario que nos ha enviado dicha muestra podrá comprobar si quiere, pero al no ser asociado a nuestros servicios, nos limitamos a informar con lo indicado.



Esperando que la información indicada les será de utilidad, reciban saludos.



ms, 20.3.2018

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
© 1998-2024 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto