Nuevo troyano BHOCTF aun no detectado actualmente por ningun antivirus, pero sí por el ELISTARA >19.81
Esta mañana nos ha llegado una muestra solicitada a raiz de examinar el informe generado por el SPROCES, si bien ninguno de los AV del VirusTotal detectaba nada,
File ew83686.dll received on 2009.12.01 08:43:56 (UTC)
Result: 0/41 (0.00%)
File size: 229376 bytes
MD5 : 55cd83c69bd87ed1ababbc5084809410
SHA1 : 0c9610debf265c4812302ae3270f075d7fa26e6f
pero ante la inexistencia de informacion sobre el fichero en cuestion ew83686.dll y en cambio que en sus propiedades indicara ser de microsoft (falso, claro)… nos han hecho explorar a fondo monitorizando el comportamiento del mismo
y visto que creaba un debugguer en el registro sobre un CTFMON.EXE atípico (no el del office) el cual ya es detectado por dos AV, Antivir y McAfee:
File ctfmon_pn.exe received on 2009.12.01 12:40:51 (UTC)
Result: 2/41 (4.88%)
a-squared 4.5.0.43 2009.12.01 –
AhnLab-V3 5.0.0.2 2009.12.01 –
AntiVir 7.9.1.88 2009.12.01 TR/ATRAPS.Gen
Antiy-AVL 2.0.3.7 2009.12.01 –
Authentium 5.2.0.5 2009.12.01 –
Avast 4.8.1351.0 2009.12.01 –
AVG 8.5.0.426 2009.12.01 –
BitDefender 7.2 2009.12.01 –
CAT-QuickHeal 10.00 2009.12.01 –
ClamAV 0.94.1 2009.12.01 –
Comodo 3101 2009.12.01 –
DrWeb 5.0.0.12182 2009.12.01 –
eSafe 7.0.17.0 2009.11.30 –
eTrust-Vet 35.1.7150 2009.12.01 –
F-Prot 4.5.1.85 2009.11.30 –
F-Secure 9.0.15370.0 2009.11.29 –
Fortinet 4.0.14.0 2009.12.01 –
GData 19 2009.12.01 –
Ikarus T3.1.1.74.0 2009.12.01 –
Jiangmin 11.0.800 2009.12.01 –
K7AntiVirus 7.10.906 2009.11.27 –
Kaspersky 7.0.0.125 2009.12.01 –
McAfee 5818 2009.11.30 –
McAfee+Artemis 5818 2009.11.30 –
McAfee-GW-Edition 6.8.5 2009.12.01 Trojan.ATRAPS.Gen
Microsoft 1.5302 2009.12.01 –
NOD32 4651 2009.12.01 –
Norman 6.03.02 2009.12.01 –
nProtect 2009.1.8.0 2009.11.28 –
Panda 10.0.2.2 2009.11.30 –
PCTools 7.0.3.5 2009.12.01 –
Prevx 3.0 2009.12.01 –
Rising 22.24.01.09 2009.12.01 –
Sophos 4.48.0 2009.12.01 –
Sunbelt 3.2.1858.2 2009.12.01 –
Symantec 1.4.4.12 2009.12.01 –
TheHacker 6.5.0.2.082 2009.11.30 –
TrendMicro 9.100.0.1001 2009.12.01 –
VBA32 3.12.12.0 2009.11.30 –
ViRobot 2009.12.1.2065 2009.12.01 –
VirusBuster 5.0.21.0 2009.11.30 –
Additional information
File size: 10240 bytes
MD5 : ea5063a3f400817864697c55f6a3521a
SHA1 : d1199878ef2bf289a34ff95b60a6e8d616c7f3eb
Pues ambos ficheros, la DLL y este EXE, aparte de las claves que generan, pasan a ser controladas a partir del nuevo ELISTARA de hoy, 19.81 como Trojan BHOCTF
Con ello nos hemos adelantamos a la inmensa mayoria de antivirus en el control de esta nueva variante, gracias al analisis del SPROCES y la nuestra solicitada al respecto.
A partir de las 19 horas de hoy estará disponible la nueva version de ELISTARA 19.81
“Debugger”=”C:\\WINDOWS\\system32\\ctfmon_pn.exe”
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.