Variante de REMOTE ADMIN NETCAT ya controlado por actual ELITRIIP
Nos llega muestra para analizar de un fichero con nombre claramente sospechoso, (ni EXPLORER ni I EXPLORE, sino IEXPLORER, con I inicial y R final…)
En el preanalisis vemos:
File name: IEXPLORER.EXE.Muestra EliStartPage v22.59
Submission date: 2011-02-15 18:03:37 (UTC)
Current status: finished
Result: 28 /43 (65.1%)
VT Community
malware
Safety score: 2.6%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.02.14.02 2011.02.14 Win-AppCare/NTSniff_v110
AntiVir 7.11.3.90 2011.02.15 SPR/RemoteAdmin.Net
Antiy-AVL 2.0.3.7 2011.02.15 Trojan/win32.agent.gen
Avast 4.8.1351.0 2011.02.14 –
Avast5 5.0.677.0 2011.02.14 Win32:PUP-gen
AVG 10.0.0.1190 2011.02.15 RemoteAdmin.T
BitDefender 7.2 2011.02.15 –
CAT-QuickHeal 11.00 2011.02.15 Trojan.Agent.ATV
ClamAV 0.96.4.0 2011.02.15 PUA.NetTool.Netcat-7
Commtouch 5.2.11.5 2011.02.15 W32/Netcat
Comodo 7699 2011.02.15 ApplicUnsaf.Win32.RemoteAdmin
DrWeb 5.0.2.03300 2011.02.15 Tool.Netcat
Emsisoft 5.1.0.2 2011.02.15 –
eSafe 7.0.17.0 2011.02.15 Win32.SPRRemoteAdmin
eTrust-Vet 36.1.8160 2011.02.15 –
F-Prot 4.6.2.117 2011.02.15 W32/Netcat
F-Secure 9.0.16160.0 2011.02.15 Riskware:W32/NetCat.B
Fortinet 4.2.254.0 2011.02.15 HackerTool/Netcat
GData 21 2011.02.15 –
Ikarus T3.1.1.97.0 2011.02.15 –
Jiangmin 13.0.900 2011.02.15 Hacktool.Nc
K7AntiVirus 9.85.3859 2011.02.15 –
Kaspersky 7.0.0.125 2011.02.15 not-a-virus:RemoteAdmin.Win32.NetCat.jk
McAfee 5.400.0.1158 2011.02.15 –
McAfee-GW-Edition 2010.1C 2011.02.15 Heuristic.BehavesLike.Win32.Suspicious.H
Microsoft 1.6502 2011.02.15 –
NOD32 5877 2011.02.15 Win32/RemoteAdmin
Norman 6.07.03 2011.02.15 –
nProtect 2011-02-10.01 2011.02.15 –
Panda 10.0.3.5 2011.02.15 Hacktool/NetCat.B
PCTools 7.0.3.5 2011.02.15 SecurityRisk.NetCat
Prevx 3.0 2011.02.15 Medium Risk Malware
Rising 23.45.01.06 2011.02.15 Backdoor.Ncx.b
Sophos 4.61.0 2011.02.15 NetCat
SUPERAntiSpyware 4.40.0.1006 2011.02.15 Trojan.Dropper/Win-NV
Symantec 20101.3.0.103 2011.02.15 NetCat
TheHacker 6.7.0.1.131 2011.02.15 Backdoor/Ncx.b
TrendMicro 9.200.0.1012 2011.02.15 –
TrendMicro-HouseCall 9.200.0.1012 2011.02.15 –
VBA32 3.12.14.3 2011.02.15 –
VIPRE 8429 2011.02.15 Netcat
ViRobot 2011.2.15.4311 2011.02.15 Not_a_virus:RemoteAdmin.NetCat.59392
VirusBuster 13.6.202.1 2011.02.15 –
Additional informationShow all
MD5 : e0fb946c00b140693e3cf5de258c22a1
SHA1 : 57f0839433234285cc9df96198a6ca58248a4707
File size : 59392 bytes
Visto como lo detectan, vemos que el ELITRIIP ACTUAL ya lo controla Y elimina, por lo que informamos al cliente de que utilice dicha herramienta ELITRIIP, y comentamos que aun algunos AV conocidos no lo controlan, como
BitDefender 7.2 2011.02.15 –
eTrust-Vet 36.1.8160 2011.02.15 –
GData 21 2011.02.15 –
Microsoft 1.6502 2011.02.15 –
Norman 6.07.03 2011.02.15 –
TrendMicro 9.200.0.1012 2011.02.15 –
El ELITRIIP que lo controla y elimina es el que está actualmente en la web.
saludos
ms, 16-2-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.