Se estan recibiendo mails anexando el fichero PHOTO.EXE, que aun recibiendose de diferentes remitentes, presentan similares caracteristicas:
PROTOTIPO DE MAIL MALICIOSO ANEXANDO "PHOTO"
___________________________
Asunto: my new photo![;)]( "Wink")
De: "Emily" <remitentes variados>
Fecha: 24/09/2014 19:50
Para: <destinatario>
my new photo![;)]( "Wink")
ANEXADO : PHOTO.ZIP
______________________
FIN DEL MAIL MALICIOSO
Se trata de una nueva variante del que ya indicabamos controlar en la actual version del ElistarA 30.65, pasando en esta ocasion a controlar estas nuevas variantes a partir del ElistarA de hoy, 30.66
Se recuerda que al ser ROOTKIT, solo se puede detectar (y no heuristicamente) por cadenas si no está en uso, por lo que conviene arrancar en MODO SEGURO para poder detectarlo y eliminarlo.
El preanalisis de virustotal ofrece este informe:
MD5 efa7f95edacec888f39e5ce0ee675a95
SHA1 fb8d643ede43d55e3d1b3aebf2c7cdc72880
Tamaño del fichero 55.0 KB ( 56320 bytes ))
SHA256: 937687e116372fc3c1ee825fe6abf6e7e86e7b4f626235bff0c8bc261a38fb1a
Nombre: photo.exe
Detecciones: 26 / 54
Fecha de análisis: 2014-09-25 07:39:18 UTC ( hace 16 minutos )
1 3
Antivirus Resultado Actualización
AVware Trojan.Win32.Generic.pak!cobra 20140925
Ad-Aware Trojan.GenericKD.1880302 20140925
Avast Win32:Malware-gen 20140925
Avira TR/Spy.ZBot.lsmer.2 20140925
Baidu-International Trojan.MSIL.Injector.BFLV 20140924
BitDefender Trojan.GenericKD.1880302 20140925
Cyren W32/Trojan.NBKI-4915 20140925
DrWeb Trojan.Siggen6.23721 20140925
ESET-NOD32 Win32/TrojanDownloader.Zurgop.BK 20140925
Emsisoft Trojan.GenericKD.1880302 (B) 20140925
F-Prot W32/Trojan3.KXJ 20140925
Fortinet MSIL/Injector.FLL!tr 20140925
GData Trojan.GenericKD.1880302 20140925
Ikarus Trojan.MSIL.Inject 20140925
Kaspersky Trojan.Win32.Sharik.twn 20140925
McAfee Artemis!EFA7F95EDACE 20140925
McAfee-GW-Edition BehavesLike.Win32.Backdoor.qh 20140924
MicroWorld-eScan Trojan.GenericKD.1880302 20140925
Microsoft TrojanDownloader:Win32/Dofoil.T 20140925
Panda Trj/Chgt.G 20140924
Sophos Troj/MSIL-AKN 20140925
Tencent Win32.Trojan.Inject.Auto 20140925
TrendMicro TROJ_INJECTO.ERO 20140925
TrendMicro-HouseCall TROJ_INJECTO.ERO 20140925
VIPRE Trojan.Win32.Generic.pak!cobra 20140925
ViRobot Trojan.Win32.Agent.56320.BE 20140925
Dicha version del ElistarA 30.66 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
Hemos visto que tiene funciones de donwloader, descargando variantes del TROJAN COMROKI, de cuya familia ya controlamos varios, y que tambien pasaremos a controlar el que descarga actualmente.
saludos
ms, 25-9-2014
PROTOTIPO DE MAIL MALICIOSO ANEXANDO "PHOTO"
___________________________
Asunto: my new photo
De: "Emily" <remitentes variados>
Fecha: 24/09/2014 19:50
Para: <destinatario>
my new photo
ANEXADO : PHOTO.ZIP
______________________
FIN DEL MAIL MALICIOSO
Se trata de una nueva variante del que ya indicabamos controlar en la actual version del ElistarA 30.65, pasando en esta ocasion a controlar estas nuevas variantes a partir del ElistarA de hoy, 30.66
Se recuerda que al ser ROOTKIT, solo se puede detectar (y no heuristicamente) por cadenas si no está en uso, por lo que conviene arrancar en MODO SEGURO para poder detectarlo y eliminarlo.
El preanalisis de virustotal ofrece este informe:
MD5 efa7f95edacec888f39e5ce0ee675a95
SHA1 fb8d643ede43d55e3d1b3aebf2c7cdc72880
Tamaño del fichero 55.0 KB ( 56320 bytes ))
SHA256: 937687e116372fc3c1ee825fe6abf6e7e86e7b4f626235bff0c8bc261a38fb1a
Nombre: photo.exe
Detecciones: 26 / 54
Fecha de análisis: 2014-09-25 07:39:18 UTC ( hace 16 minutos )
1 3
Antivirus Resultado Actualización
AVware Trojan.Win32.Generic.pak!cobra 20140925
Ad-Aware Trojan.GenericKD.1880302 20140925
Avast Win32:Malware-gen 20140925
Avira TR/Spy.ZBot.lsmer.2 20140925
Baidu-International Trojan.MSIL.Injector.BFLV 20140924
BitDefender Trojan.GenericKD.1880302 20140925
Cyren W32/Trojan.NBKI-4915 20140925
DrWeb Trojan.Siggen6.23721 20140925
ESET-NOD32 Win32/TrojanDownloader.Zurgop.BK 20140925
Emsisoft Trojan.GenericKD.1880302 (B) 20140925
F-Prot W32/Trojan3.KXJ 20140925
Fortinet MSIL/Injector.FLL!tr 20140925
GData Trojan.GenericKD.1880302 20140925
Ikarus Trojan.MSIL.Inject 20140925
Kaspersky Trojan.Win32.Sharik.twn 20140925
McAfee Artemis!EFA7F95EDACE 20140925
McAfee-GW-Edition BehavesLike.Win32.Backdoor.qh 20140924
MicroWorld-eScan Trojan.GenericKD.1880302 20140925
Microsoft TrojanDownloader:Win32/Dofoil.T 20140925
Panda Trj/Chgt.G 20140924
Sophos Troj/MSIL-AKN 20140925
Tencent Win32.Trojan.Inject.Auto 20140925
TrendMicro TROJ_INJECTO.ERO 20140925
TrendMicro-HouseCall TROJ_INJECTO.ERO 20140925
VIPRE Trojan.Win32.Generic.pak!cobra 20140925
ViRobot Trojan.Win32.Agent.56320.BE 20140925
Dicha version del ElistarA 30.66 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
Hemos visto que tiene funciones de donwloader, descargando variantes del TROJAN COMROKI, de cuya familia ya controlamos varios, y que tambien pasaremos a controlar el que descarga actualmente.
saludos
ms, 25-9-2014