Analisis del fichero .CPL infectado complementario al AUTORUN.INF del virus RAMNIT
Esta mañana hemos cazado ,gracias al infosat (informe del ELISTARA), ficheros sospechosos en AUTORUN.INF de un pendrive, lanzados desde una carpeta RECYCLER:
Detectado AUTORUN.INF en la Unidad (F)
shellexecute=\RECYCLER\S-1-7-15-2111878634-5336201014-228520834-4735\OWEMssHS.exe
y en la misma carpeta RECYCLER el usuario ha encontrado ademas un .CPL que nos ha enviado tambien, resultando ser el complemento para que dicho pendrive no solo infectara por la autoejecucion del AUTORUN.INF, sino por la presencia de dicho .CPL. al estilo del STUXNET !
El preanalisis de virustotal sobre dicho CPL, ofrece el siguiente informe:
SHA256: 670a7e2fe5c1dd8a4b602bacd2b55289cad0857328cc4dd349b2dd6451756bce
SHA1: 3d80e31b5e5d962ee3953def2d431282c50582c4
MD5: b385ee2824e0b286802ecf9ec9f3cbc4
Tamaño: 3.5 KB ( 3584 bytes )
Nombre: vUCNlPHi.cpl
Tipo: Win32 DLL
Detecciones: 42 / 44
Fecha de análisis: 2013-01-28 13:36:54 UTC ( hace 1 minuto )
Antivirus Resultado Actualización
Agnitum Trojan.Ramnit!iQNQL6zS3w0 20130128
AntiVir TR/Starter.Y 20130128
Antiy-AVL – 20130128
Avast Win32:Starter-BH [Trj] 20130128
AVG Generic20.GJD 20130128
BitDefender Win32.Ramnit.L 20130128
CAT-QuickHeal Trojan.Starter.yy4 20130128
ClamAV W32.Trojan.Starter-2 20130127
Commtouch W32/Ramnit.E.gen!Eldorado 20130128
Comodo TrojWare.Win32.Starter.yy 20130128
DrWeb Win32.Rmnet.1 20130128
Emsisoft Win32.Ramnit.L (B) 20130124
eSafe – 20130127
ESET-NOD32 Win32/Ramnit.F 20130128
F-Prot W32/Ramnit.E.gen!Eldorado 20130128
F-Secure Win32.Ramnit.L 20130128
Fortinet W32/Starter.GC!tr 20130128
GData Win32.Ramnit.L 20130128
Ikarus Virus.Win32.Ramnit 20130128
Jiangmin Trojan/Starter.jn 20121221
K7AntiVirus EmailWorm 20130125
Kaspersky Trojan.Win32.Starter.yy 20130128
Kingsoft Win32.Troj.Agent.ac.3584 20130121
Malwarebytes Virus.Ramnit 20130128
McAfee W32/Ramnit.a 20130128
McAfee-GW-Edition Heuristic.LooksLike.Win32.Suspicious.I 20130128
Microsoft Trojan:Win32/Ramnit.C 20130128
MicroWorld-eScan Win32.Ramnit.L 20130128
NANO-Antivirus Trojan.Win32.Starter.bulib 20130128
Norman Runner.NZ 20130128
nProtect Trojan/W32.Starter.3584 20130128
Panda Trj/Starter.G 20130128
PCTools Malware.Ramnit 20130128
Rising Trojan.Win32.Fednu.ank 20130125
Sophos W32/Ramnit-BO 20130128
SUPERAntiSpyware Trojan.Agent/Gen-Ramnit 20130128
Symantec W32.Ramnit.B 20130128
TheHacker Trojan/Starter.yy 20130125
TotalDefense Win32/Ramnit.H 20130128
TrendMicro TROJ_STARTER.SM 20130128
TrendMicro-HouseCall TROJ_STARTER.SM 20130128
VBA32 Trojan.Starter.ijq 20130128
VIPRE Trojan.Win32.Ramnit.c (v) 20130128
ViRobot Trojan.Win32.Starter.3584 20130128
Procedemos a monitorizar su comportamiento dado que su desinfección no es simple y conviene poder indicar un método que libere, a los usuarios afectados, de dicho engendro, aunque ya 42 de 44 antivirus lo controlan.
saludos
ms, 28-1-2013
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.