Se recibe un mail con esta foto:
Imagen Photo-2008.jpeg.exe
http://www.satinfo.es/blog/wp-content/uploads/2013/05/photo-022.jpg
Al ejecutar el fichero, visualiza la imagen de la chica y genera y ejecuta un DORKBOT :
%Datos de Programa%\x1.exe --------> Worm.Dorkbot "8f23a26f(01).exe"
que permanece invisible cuando está en uso e infecta pendrives ocultando carpetas y creando links en su lugar, a fichero oculto en Recycler, que en la muestra analizada se llamaba 8f23a26f.exe
A partir del ElistarA 27.65 pasamos a controlar especificamente esta nueva variante, tanto del dropper, como del rootkit y ficheros creados en pendrive.
Los preanalisis de virustotal de los ficheros en cuestion, reportan los siguientes informes:
DROPPER
SHA256: a0a072dad5af547484e98bdab6133100ca8ed6d1e1d1005b3958277de4da6d33
SHA1: 5071da8d22b8284029de847907c5153506cdf637
MD5: 9c0d163c0121ef135723a57330aa1a8a
Tamaño: 255.2 KB ( 261341 bytes )
Nombre: Photo-2008.jpeg.exe.VIR
Tipo: Win32 EXE
Detecciones: 11 / 46
Fecha de análisis: 2013-05-10 11:02:19 UTC ( hace 0 minutos )
0 0 Más detalles ?Análisis ?File detail
?Información adicional ?Comentarios ?Votos
Antivirus Resultado Actualización
Agnitum ? 20130510
AhnLab-V3 ? 20130509
AntiVir TR/Graftor.88007 20130510
Antiy-AVL ? 20130510
Avast Win32:Rootkit-gen 20130510
AVG ? 20130510
BitDefender Gen:Variant.Graftor.88007 20130510
ByteHero ? 20130510
CAT-QuickHeal ? 20130510
ClamAV ? 20130510
Commtouch ? 20130510
Comodo ? 20130510
DrWeb BackDoor.IRC.NgrBot.42 20130510
Emsisoft Backdoor.Win32.Ruskill.AMN (A) 20130510
eSafe ? 20130509
ESET-NOD32 ? 20130510
F-Prot ? 20130510
F-Secure ? 20130510
Fortinet ? 20130510
GData Gen:Variant.Graftor.88007 20130510
Ikarus ? 20130510
Jiangmin ? 20130510
K7AntiVirus ? 20130509
K7GW ? 20130509
Kaspersky Backdoor.Win32.Ruskill.sfe 20130510
Kingsoft Win32.Hack.Ruskill.s.(kcloud) 20130506
Malwarebytes ? 20130510
McAfee ? 20130510
McAfee-GW-Edition ? 20130510
Microsoft ? 20130510
MicroWorld-eScan Gen:Variant.Graftor.88007 20130510
NANO-Antivirus ? 20130510
Norman ? 20130510
nProtect ? 20130510
Panda ? 20130510
PCTools ? 20130510
Sophos ? 20130510
SUPERAntiSpyware ? 20130510
Symantec WS.Reputation.1 20130510
TheHacker ? 20130509
TotalDefense ? 20130509
TrendMicro ? 20130510
TrendMicro-HouseCall TROJ_GEN.RC1H1EA 20130510
VBA32 ? 20130510
VIPRE ? 20130510
ViRobot ? 20130510
ROOTKIT DORKBOT
SHA256: 5e09f3b4d1d2d438399964123ed0aeaffd50d1265a67ae3cbb7ebcd8f6231215
SHA1: c3a86f245ee7811b3c9a652ae1330c014538fb55
MD5: 8e3869f7d9164aa2eaf2c85ad725df02
Tamaño: 158.8 KB ( 162640 bytes )
Nombre: X1.exe
Tipo: Win32 EXE
Detecciones: 10 / 46
Fecha de análisis: 2013-05-10 11:09:00 UTC ( hace 0 minutos )
0 1 Más detalles ?Análisis ?File detail
?Información adicional ?Comentarios ?Votos
Antivirus Resultado Actualización
Agnitum ? 20130510
AhnLab-V3 ? 20130510
AntiVir ? 20130510
Antiy-AVL ? 20130510
Avast ? 20130510
AVG ? 20130510
BitDefender Gen:Variant.Graftor.88007 20130510
ByteHero ? 20130509
CAT-QuickHeal ? 20130510
ClamAV ? 20130510
Commtouch ? 20130510
Comodo ? 20130510
DrWeb ? 20130510
Emsisoft Gen:Variant.Graftor.88007 (B) 20130510
eSafe ? 20130509
ESET-NOD32 ? 20130510
F-Prot ? 20130510
F-Secure Gen:Variant.Graftor.88007 20130510
Fortinet ? 20130510
GData Gen:Variant.Graftor.88007 20130510
Ikarus ? 20130510
Jiangmin ? 20130510
K7AntiVirus ? 20130509
K7GW ? 20130509
Kaspersky Backdoor.Win32.Ruskill.sfe 20130510
Kingsoft Win32.Hack.Ruskill.s.(kcloud) 20130506
Malwarebytes ? 20130510
McAfee ? 20130510
McAfee-GW-Edition ? 20130510
Microsoft ? 20130510
MicroWorld-eScan Gen:Variant.Graftor.88007 20130510
NANO-Antivirus ? 20130510
Norman ? 20130510
nProtect ? 20130510
Panda ? 20130510
PCTools ? 20130510
Sophos ? 20130510
SUPERAntiSpyware Trojan.Agent/Gen-Falprod 20130510
Symantec WS.Reputation.1 20130510
TheHacker ? 20130509
TotalDefense ? 20130509
TrendMicro ? 20130510
TrendMicro-HouseCall TROJ_GEN.RC1H1EA 20130510
VBA32 ? 20130510
VIPRE ? 20130510
ViRobot ? 20130510
DORKBOT EN PENDRIVE
SHA256: 5e09f3b4d1d2d438399964123ed0aeaffd50d1265a67ae3cbb7ebcd8f6231215
SHA1: c3a86f245ee7811b3c9a652ae1330c014538fb55
MD5: 8e3869f7d9164aa2eaf2c85ad725df02
Tamaño: 158.8 KB ( 162640 bytes )
Nombre: 8f23a26f.exe
Tipo: Win32 EXE
Detecciones: 10 / 46
Fecha de análisis: 2013-05-10 11:09:00 UTC ( hace 0 minutos )
0 1 Más detalles ?Análisis ?File detail
?Información adicional ?Comentarios ?Votos
Antivirus Resultado Actualización
Agnitum ? 20130510
AhnLab-V3 ? 20130510
AntiVir ? 20130510
Antiy-AVL ? 20130510
Avast ? 20130510
AVG ? 20130510
BitDefender Gen:Variant.Graftor.88007 20130510
ByteHero ? 20130509
CAT-QuickHeal ? 20130510
ClamAV ? 20130510
Commtouch ? 20130510
Comodo ? 20130510
DrWeb ? 20130510
Emsisoft Gen:Variant.Graftor.88007 (B) 20130510
eSafe ? 20130509
ESET-NOD32 ? 20130510
F-Prot ? 20130510
F-Secure Gen:Variant.Graftor.88007 20130510
Fortinet ? 20130510
GData Gen:Variant.Graftor.88007 20130510
Ikarus ? 20130510
Jiangmin ? 20130510
K7AntiVirus ? 20130509
K7GW ? 20130509
Kaspersky Backdoor.Win32.Ruskill.sfe 20130510
Kingsoft Win32.Hack.Ruskill.s.(kcloud) 20130506
Malwarebytes ? 20130510
McAfee ? 20130510
McAfee-GW-Edition ? 20130510
Microsoft ? 20130510
MicroWorld-eScan Gen:Variant.Graftor.88007 20130510
NANO-Antivirus ? 20130510
Norman ? 20130510
nProtect ? 20130510
Panda ? 20130510
PCTools ? 20130510
Sophos ? 20130510
SUPERAntiSpyware Trojan.Agent/Gen-Falprod 20130510
Symantec WS.Reputation.1 20130510
TheHacker ? 20130509
TotalDefense ? 20130509
TrendMicro ? 20130510
TrendMicro-HouseCall TROJ_GEN.RC1H1EA 20130510
VBA32 ? 20130510
VIPRE ? 20130510
ViRobot ? 20130510
Dicha version del ElistarA 27.65 que lo detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy
saludos
ms, 10-5-2013
Imagen Photo-2008.jpeg.exe
http://www.satinfo.es/blog/wp-content/uploads/2013/05/photo-022.jpg
Al ejecutar el fichero, visualiza la imagen de la chica y genera y ejecuta un DORKBOT :
%Datos de Programa%\x1.exe --------> Worm.Dorkbot "8f23a26f(01).exe"
que permanece invisible cuando está en uso e infecta pendrives ocultando carpetas y creando links en su lugar, a fichero oculto en Recycler, que en la muestra analizada se llamaba 8f23a26f.exe
A partir del ElistarA 27.65 pasamos a controlar especificamente esta nueva variante, tanto del dropper, como del rootkit y ficheros creados en pendrive.
Los preanalisis de virustotal de los ficheros en cuestion, reportan los siguientes informes:
DROPPER
SHA256: a0a072dad5af547484e98bdab6133100ca8ed6d1e1d1005b3958277de4da6d33
SHA1: 5071da8d22b8284029de847907c5153506cdf637
MD5: 9c0d163c0121ef135723a57330aa1a8a
Tamaño: 255.2 KB ( 261341 bytes )
Nombre: Photo-2008.jpeg.exe.VIR
Tipo: Win32 EXE
Detecciones: 11 / 46
Fecha de análisis: 2013-05-10 11:02:19 UTC ( hace 0 minutos )
0 0 Más detalles ?Análisis ?File detail
?Información adicional ?Comentarios ?Votos
Antivirus Resultado Actualización
Agnitum ? 20130510
AhnLab-V3 ? 20130509
AntiVir TR/Graftor.88007 20130510
Antiy-AVL ? 20130510
Avast Win32:Rootkit-gen 20130510
AVG ? 20130510
BitDefender Gen:Variant.Graftor.88007 20130510
ByteHero ? 20130510
CAT-QuickHeal ? 20130510
ClamAV ? 20130510
Commtouch ? 20130510
Comodo ? 20130510
DrWeb BackDoor.IRC.NgrBot.42 20130510
Emsisoft Backdoor.Win32.Ruskill.AMN (A) 20130510
eSafe ? 20130509
ESET-NOD32 ? 20130510
F-Prot ? 20130510
F-Secure ? 20130510
Fortinet ? 20130510
GData Gen:Variant.Graftor.88007 20130510
Ikarus ? 20130510
Jiangmin ? 20130510
K7AntiVirus ? 20130509
K7GW ? 20130509
Kaspersky Backdoor.Win32.Ruskill.sfe 20130510
Kingsoft Win32.Hack.Ruskill.s.(kcloud) 20130506
Malwarebytes ? 20130510
McAfee ? 20130510
McAfee-GW-Edition ? 20130510
Microsoft ? 20130510
MicroWorld-eScan Gen:Variant.Graftor.88007 20130510
NANO-Antivirus ? 20130510
Norman ? 20130510
nProtect ? 20130510
Panda ? 20130510
PCTools ? 20130510
Sophos ? 20130510
SUPERAntiSpyware ? 20130510
Symantec WS.Reputation.1 20130510
TheHacker ? 20130509
TotalDefense ? 20130509
TrendMicro ? 20130510
TrendMicro-HouseCall TROJ_GEN.RC1H1EA 20130510
VBA32 ? 20130510
VIPRE ? 20130510
ViRobot ? 20130510
ROOTKIT DORKBOT
SHA256: 5e09f3b4d1d2d438399964123ed0aeaffd50d1265a67ae3cbb7ebcd8f6231215
SHA1: c3a86f245ee7811b3c9a652ae1330c014538fb55
MD5: 8e3869f7d9164aa2eaf2c85ad725df02
Tamaño: 158.8 KB ( 162640 bytes )
Nombre: X1.exe
Tipo: Win32 EXE
Detecciones: 10 / 46
Fecha de análisis: 2013-05-10 11:09:00 UTC ( hace 0 minutos )
0 1 Más detalles ?Análisis ?File detail
?Información adicional ?Comentarios ?Votos
Antivirus Resultado Actualización
Agnitum ? 20130510
AhnLab-V3 ? 20130510
AntiVir ? 20130510
Antiy-AVL ? 20130510
Avast ? 20130510
AVG ? 20130510
BitDefender Gen:Variant.Graftor.88007 20130510
ByteHero ? 20130509
CAT-QuickHeal ? 20130510
ClamAV ? 20130510
Commtouch ? 20130510
Comodo ? 20130510
DrWeb ? 20130510
Emsisoft Gen:Variant.Graftor.88007 (B) 20130510
eSafe ? 20130509
ESET-NOD32 ? 20130510
F-Prot ? 20130510
F-Secure Gen:Variant.Graftor.88007 20130510
Fortinet ? 20130510
GData Gen:Variant.Graftor.88007 20130510
Ikarus ? 20130510
Jiangmin ? 20130510
K7AntiVirus ? 20130509
K7GW ? 20130509
Kaspersky Backdoor.Win32.Ruskill.sfe 20130510
Kingsoft Win32.Hack.Ruskill.s.(kcloud) 20130506
Malwarebytes ? 20130510
McAfee ? 20130510
McAfee-GW-Edition ? 20130510
Microsoft ? 20130510
MicroWorld-eScan Gen:Variant.Graftor.88007 20130510
NANO-Antivirus ? 20130510
Norman ? 20130510
nProtect ? 20130510
Panda ? 20130510
PCTools ? 20130510
Sophos ? 20130510
SUPERAntiSpyware Trojan.Agent/Gen-Falprod 20130510
Symantec WS.Reputation.1 20130510
TheHacker ? 20130509
TotalDefense ? 20130509
TrendMicro ? 20130510
TrendMicro-HouseCall TROJ_GEN.RC1H1EA 20130510
VBA32 ? 20130510
VIPRE ? 20130510
ViRobot ? 20130510
DORKBOT EN PENDRIVE
SHA256: 5e09f3b4d1d2d438399964123ed0aeaffd50d1265a67ae3cbb7ebcd8f6231215
SHA1: c3a86f245ee7811b3c9a652ae1330c014538fb55
MD5: 8e3869f7d9164aa2eaf2c85ad725df02
Tamaño: 158.8 KB ( 162640 bytes )
Nombre: 8f23a26f.exe
Tipo: Win32 EXE
Detecciones: 10 / 46
Fecha de análisis: 2013-05-10 11:09:00 UTC ( hace 0 minutos )
0 1 Más detalles ?Análisis ?File detail
?Información adicional ?Comentarios ?Votos
Antivirus Resultado Actualización
Agnitum ? 20130510
AhnLab-V3 ? 20130510
AntiVir ? 20130510
Antiy-AVL ? 20130510
Avast ? 20130510
AVG ? 20130510
BitDefender Gen:Variant.Graftor.88007 20130510
ByteHero ? 20130509
CAT-QuickHeal ? 20130510
ClamAV ? 20130510
Commtouch ? 20130510
Comodo ? 20130510
DrWeb ? 20130510
Emsisoft Gen:Variant.Graftor.88007 (B) 20130510
eSafe ? 20130509
ESET-NOD32 ? 20130510
F-Prot ? 20130510
F-Secure Gen:Variant.Graftor.88007 20130510
Fortinet ? 20130510
GData Gen:Variant.Graftor.88007 20130510
Ikarus ? 20130510
Jiangmin ? 20130510
K7AntiVirus ? 20130509
K7GW ? 20130509
Kaspersky Backdoor.Win32.Ruskill.sfe 20130510
Kingsoft Win32.Hack.Ruskill.s.(kcloud) 20130506
Malwarebytes ? 20130510
McAfee ? 20130510
McAfee-GW-Edition ? 20130510
Microsoft ? 20130510
MicroWorld-eScan Gen:Variant.Graftor.88007 20130510
NANO-Antivirus ? 20130510
Norman ? 20130510
nProtect ? 20130510
Panda ? 20130510
PCTools ? 20130510
Sophos ? 20130510
SUPERAntiSpyware Trojan.Agent/Gen-Falprod 20130510
Symantec WS.Reputation.1 20130510
TheHacker ? 20130509
TotalDefense ? 20130509
TrendMicro ? 20130510
TrendMicro-HouseCall TROJ_GEN.RC1H1EA 20130510
VBA32 ? 20130510
VIPRE ? 20130510
ViRobot ? 20130510
Dicha version del ElistarA 27.65 que lo detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy
saludos
ms, 10-5-2013