Ya comentamos recientemente información sobre el peligroso DRIDEX en
https://blog.satinfo.es/2017/a-vueltas-con-el-dridex/
Y hoy, a partir del ElistarA 36.98 de hoy pasamos a controlar un poco mas estos dichosos DRIDEX, al menos la variante que nos ha llegado este fin de semana, que tras ejecutar el EXE malware, lo cambia por una aplicación de Microsoft y lanzan dos DLL diferentes que pasamos a controlar a partir del ElistarA 36.98 de hoy
Aparte de lanzar el ElistarA, se debe complementar su acción arrancando en MODO SEGURO y eliminando las dos carpetas "raras" sitas en Datos de PROGRAMA y en WINSYS, además del link de la carpeta de inicio:
EJEMPLO:
%WinIni%\ Ruhzv.lnk -> "%Datos de Programa%\ 8Jk10v\ WerFault.exe" (fichero malicioso)
%Datos de Programa%\ 8Jk10v\ WerFault.exe
%Datos de Programa%\ 8Jk10v\ wer.dll
%WinSys%\ 4113\ perfmon.exe
%WinSys%\ 4113\ credui.dll
El EXE que crea sustituyendo al inicial del malware, que se autoborra, parece ser una copia de uno de los EXE de Microsoft existente en el Sistema:
"Ruhzv"=""%Datos de Programa%\ 8Jk10v\ WerFault.exe""
que se autoborra en cada reinicio, creando otras dos DLL diferentes de las iniciales, aunque seguimos detectandolas con el actual ElistarA
El preanalisis del fichero malicioso de este caso, ofrece el siguiente informe:
MD5 1a18e844222a43381839d2fa95493ee3
SHA1 4966a81a2ec033649e5f1dd3bafd1788478bfde8
Tamaño del fichero 116.0 KB ( 118784 bytes )
SHA256:
c7dc1e2d1dbda6e287675160f1e96f6514b8a6f10017a1e4b76c7591c3785e97
Nombre:
8yfh4gfff.exe
Detecciones:
44 / 61
Fecha de análisis:
2017-06-07 08:10:28 UTC ( hace 6 minutos )
Informe global actual de VirusTotal:
https://www.virustotal.com/es/file/c7dc1e2d1dbda6e287675160f1e96f6514b8a6f10017a1e4b76c7591c3785e97/analysis/1496823028/
Dicha versión del ElistarA 36.98 que lo detecta y elimina, ya está disponible en nuestra web.
Recordemos las acciones complementarias indicadas al principio, arrancando en MODO SEGURO y demás
saludos
ms, 7-6-2017
https://blog.satinfo.es/2017/a-vueltas-con-el-dridex/
Y hoy, a partir del ElistarA 36.98 de hoy pasamos a controlar un poco mas estos dichosos DRIDEX, al menos la variante que nos ha llegado este fin de semana, que tras ejecutar el EXE malware, lo cambia por una aplicación de Microsoft y lanzan dos DLL diferentes que pasamos a controlar a partir del ElistarA 36.98 de hoy
Aparte de lanzar el ElistarA, se debe complementar su acción arrancando en MODO SEGURO y eliminando las dos carpetas "raras" sitas en Datos de PROGRAMA y en WINSYS, además del link de la carpeta de inicio:
EJEMPLO:
%WinIni%\ Ruhzv.lnk -> "%Datos de Programa%\ 8Jk10v\ WerFault.exe" (fichero malicioso)
%Datos de Programa%\ 8Jk10v\ WerFault.exe
%Datos de Programa%\ 8Jk10v\ wer.dll
%WinSys%\ 4113\ perfmon.exe
%WinSys%\ 4113\ credui.dll
El EXE que crea sustituyendo al inicial del malware, que se autoborra, parece ser una copia de uno de los EXE de Microsoft existente en el Sistema:
"Ruhzv"=""%Datos de Programa%\ 8Jk10v\ WerFault.exe""
que se autoborra en cada reinicio, creando otras dos DLL diferentes de las iniciales, aunque seguimos detectandolas con el actual ElistarA
El preanalisis del fichero malicioso de este caso, ofrece el siguiente informe:
MD5 1a18e844222a43381839d2fa95493ee3
SHA1 4966a81a2ec033649e5f1dd3bafd1788478bfde8
Tamaño del fichero 116.0 KB ( 118784 bytes )
SHA256:
c7dc1e2d1dbda6e287675160f1e96f6514b8a6f10017a1e4b76c7591c3785e97
Nombre:
8yfh4gfff.exe
Detecciones:
44 / 61
Fecha de análisis:
2017-06-07 08:10:28 UTC ( hace 6 minutos )
Informe global actual de VirusTotal:
https://www.virustotal.com/es/file/c7dc1e2d1dbda6e287675160f1e96f6514b8a6f10017a1e4b76c7591c3785e97/analysis/1496823028/
Dicha versión del ElistarA 36.98 que lo detecta y elimina, ya está disponible en nuestra web.
Recordemos las acciones complementarias indicadas al principio, arrancando en MODO SEGURO y demás
saludos
ms, 7-6-2017