Variante de malware SIMDA y sus complementarios
Recibida la intrusion de un temporal en uno de nuestros ordenadores, mientras navegavamos por Internet, tras analizarlo vimos que se trataba de una variante del malware SIMDA y lo pasamos a controlar con el actual ELISTARA
En el preanalisis de virustotal ofrece este informe:
SHA256: a1d5a33e701552cc736f5d0b7d13e90475fce9cd014c37d62d1a775cad61de6b
SHA1: c1b1a306e6a0ad9de43ac86dd85a90d6e8645aee
MD5: 694b02b07998f9a3db936bbaeaf7492c
Tamaño: 433.5 KB ( 443909 bytes )
Nombre: 0.29364387293180294.exe
Tipo: Win32 EXE
Detecciones: 25 / 43
Fecha de análisis: 2012-03-08 09:38:45 UTC ( hace 0 minutos )
01
Antivirus Resultado Actualización
AhnLab-V3 Backdoor/Win32.Proxyier 20120308
AntiVir TR/Dropper.Gen 20120308
Antiy-AVL – 20120305
Avast Win32:Downloader-NJC [Trj] 20120308
AVG Dropper.Generic5.ATYW 20120308
BitDefender Gen:Variant.Kazy.56962 20120308
ByteHero – 20120307
CAT-QuickHeal – 20120308
ClamAV – 20120308
Commtouch – 20120308
Comodo MalCrypt.Indus! 20120307
DrWeb Trojan.Rodricter.3 20120308
Emsisoft Trojan.SuspectCRC!IK 20120308
eSafe – 20120305
eTrust-Vet – 20120307
F-Prot – 20120308
F-Secure Gen:Variant.Kazy.56962 20120308
Fortinet W32/Proxyier.ALP!tr.bdr 20120305
GData Gen:Variant.Kazy.56962 20120308
Ikarus Trojan.SuspectCRC 20120308
Jiangmin – 20120301
K7AntiVirus Trojan-Downloader 20120307
Kaspersky Backdoor.Win32.Proxyier.alp 20120308
McAfee Generic.grp!gv 20120307
McAfee-GW-Edition Generic.grp!gv 20120307
Microsoft Backdoor:Win32/Simda 20120308
NOD32 Win32/Agent.STT 20120308
Norman W32/Suspicious_Gen4.SGVI 20120304
nProtect – 20120308
Panda Generic Malware 20120308
PCTools – 20120228
Prevx – 20120308
Rising – 20120308
Sophos Mal/Encpk-LEE 20120308
SUPERAntiSpyware – 20120308
Symantec – 20120305
TheHacker – 20120308
TrendMicro TROJ_GEN.R01CDC6 20120308
TrendMicro-HouseCall TROJ_GEN.R01CDC6 20120308
VBA32 – 20120307
VIPRE VirTool.Win32.Obfuscator.hg!b (v) 20120308
ViRobot – 20120308
VirusBuster Backdoor.Proxyier!OTnSTqmC5f4 20120308
OTros complementarios tambien pasamos a controlarlos, aunque tienen menos detecciones:
SHA256: 7acba12a58b21c399c603c9adf22d8f464f9716bd26f8db3b7c936dd154952f2
SHA1: 8c596b6a38c332ec013f8a6b83d0dcae2d57e58f
MD5: 7155f303a9ed9c001b27fc8929f90482
Tamaño: 139.3 KB ( 142592 bytes )
Nombre: 5807.sys
Tipo: Win32 EXE
Detecciones: 1 / 43
Fecha de análisis: 2012-03-08 09:22:25 UTC ( hace 1 minuto )
y tambien ek c_7265170.nls:
SHA256: c9172ba1f2b494323946de3525e2eccd1318a8fe5427ad91b820b32e7db7f3d7
SHA1: c9d9f1c371eacbc83b95dc5e2703730c2f730341
MD5: 5c85267e79f5f4a0d2c2216701d0c64d
Tamaño: 175.5 KB ( 179716 bytes )
Nombre: c_7265170.nls
Tipo: unknown
Detecciones: 4 / 43
Fecha de análisis: 2012-03-08 09:32:21 UTC ( hace 21 minutos )
5728.SYS, 5728.SYS ó 5807.SYS
Identicos sus primeros 60 Kbytes menos unos bytes en la cabecera del PE
ACPI.SYS
Originalmente “ACPI.SYS” “Controlador ACPI para NT” de Microsoft,
es un Driver activo de Windows.
Lo sobrescribe manteniendo fecha/hora, su tamaño y su Descripción.
Al eliminarlo, Windows XP genera el original.
C_726519.NLS ó C_7265170.NLS
No se deja ni renombrar, incluso arrancando en “Modo Seguro”
Mientras este activo el sistema nos mostrará el Driver original “ACPI.SYS”
Con el actual ELISTARA 95.03 de detectan y eliminqn estos malwares.
saludops
ms, 8-3-2012
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.