Nuevo ingenio en infeccion del malware REVETON (virus de la policia) -apenas controlado por los actuales antivirus (solo 2 de 42)

Recibimos tres muestras con nombres logicos (JAVA.DLL , FLASHPLAYER.DLL, CSRSS.DLL), que unido a otro ya subido al Virustotal (conhost.dll), vemos que utiliza nombres habituales de ficheros de windows

Pero lo mas curioso es que para lanzarlos usa un RUNDLL32.EXE copiado en DATOS DE PROGRAMA de ALL USERS Con el nombre de LSASS.EXE, asi que el detectarlos ha sido gracias a la heuristica del ELISTARA que ha pedido muestras de los ficheros en cuestion, a los cuales analizados y monitorizados se les ha visto el plumero !

El preanalisis de virustotal en cualquiera de dichos ficheros ofrece el mismo MD5 y detecciones:

SHA256: 1345bb6040988225ca869abf1cc899ad7575e6d721fa5dc6ae93c72657879e82
SHA1: 8212b5e29ec8f205cab9605e394a72f093d86547
MD5: d621a7d48927d27ef1e9d7bf2860e2ca
Tamaño: 172.0 KB ( 176128 bytes )
Nombre: JAVA.DLL.Muestra EliStartPage v26.21
Tipo: Win32 DLL
Detecciones: 2 / 42
Fecha de análisis: 2012-09-27 16:49:19 UTC ( hace 0 minutos )

00Más detalles
Antivirus Resultado Actualización
AhnLab-V3 – 20120927
AntiVir – 20120926
Antiy-AVL – 20120926
Avast – 20120927
AVG – 20120927
BitDefender – 20120927
ByteHero – 20120927
CAT-QuickHeal – 20120927
ClamAV – 20120927
Commtouch – 20120927
Comodo – 20120927
DrWeb – 20120927
Emsisoft – 20120919
eSafe – 20120927
eScan – 20120926
ESET-NOD32 a variant of Win32/Kryptik.AMIN 20120927
F-Prot – 20120926
F-Secure – 20120927
Fortinet W32/Kryptik.ALRY!tr 20120927
GData – 20120927
Ikarus – 20120927
Jiangmin – 20120927
K7AntiVirus – 20120927
Kaspersky – 20120927
McAfee – 20120927
McAfee-GW-Edition – 20120927
Microsoft – 20120926
Norman – 20120927
nProtect – 20120926
Panda – 20120927
PCTools – 20120927
Rising – 20120927
Sophos – 20120927
SUPERAntiSpyware – 20120911
Symantec – 20120927
TheHacker – 20120927
TotalDefense – 20120927
TrendMicro – 20120927
TrendMicro-HouseCall – 20120926
VBA32 – 20120927
VIPRE – 20120927
ViRobot – 20120927

Como se ve solo 2 antivirus lo detectan actualmente, y nosotros con el ELISTARA a partir de la version 26.22 de hoy, aparte de detectarlo heuristicamente en las anteriores, pidiendo muestra.

A partir de las 19 h CEST estará disponible en nuestra web dicha version del ELISTARA 26.22

SALUDOS

MS, 27-9-2012

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies