NUEVA VARIANTE DE TROJAN WINSX RECIBIDO DE COLOMBIA, EN FALSOS DOC QUE SON EXE: (.DOC.EXE)
Recibimos dos ficheros autoextraibles que aparentan ser documentos de texto y que al ejecutarlos visualizan dicho texto mientras desempaquetan el malware y lo procesan.
De entrada crean un temporal con el nombre de svch0st (con un cero en el lugar de la O) y lo copian como WINSX.EXE en C:\windows :
copy “C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\svch0st.exe” “C:\WINDOWS\winsx.exe”
Tambien dejan en carpeta temporal el documento en cuestion, por ejemplo:
%WinTmp%\ Los movimientos y organizaciones sociales y populares necesitan garantias para el ejercicio de la oposicion politica.doc (panfleto de las FARC de Colombia)
y el otro recibido es:
%WinTmp%\ Polemica entrevista al Comandante Ivan Marquez.doc (alias de un guerrillero colombiano)
A partir del ELISTARA 28.22 de hoy, pasamos a controlar esta nueva variante
El WINSX.EXE creado ofrece este informe al ser analizado por virustotal:
SHA256: a54e17a2a2470df9533efb1c86827daf8e87e2bab252032b2d3e1f86c46773e9
SHA1: cbfb7a966096c23d57f5bb9e1357065fffc8758f
MD5: ad97cbf3ede96c1edaa0a98ce07943dc
Tamaño: 480.0 KB ( 491520 bytes )
Nombre: winsx.exe.vir
Tipo: Win32 EXE
Detecciones: 9 / 46
Fecha de análisis: 2013-08-27 10:30:36 UTC ( hace 0 minutos )
0 1 Más detalles Análisis File detail Información adicional Comentarios Votos
Antivirus Resultado Actualización
Agnitum 20130826
AhnLab-V3 20130827
AntiVir 20130827
Antiy-AVL 20130827
Avast Win32:Malware-gen 20130827
AVG 20130827
BitDefender 20130827
ByteHero 20130814
CAT-QuickHeal 20130827
ClamAV 20130827
Commtouch 20130827
Comodo 20130827
DrWeb 20130827
Emsisoft 20130827
ESET-NOD32 a variant of Win32/Injector.ALPP 20130827
F-Prot 20130827
F-Secure 20130827
Fortinet W32/Injector.AJQO!tr 20130827
GData 20130827
Ikarus Trojan.Win32.Jorik 20130827
Jiangmin 20130827
K7AntiVirus 20130826
K7GW 20130826
Kaspersky Trojan.Win32.VBKrypt.uans 20130827
Kingsoft 20130723
Malwarebytes Trojan.Agent 20130827
McAfee 20130827
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Suspicious-BAY.K 20130826
Microsoft 20130827
MicroWorld-eScan 20130827
NANO-Antivirus 20130827
Norman 20130827
nProtect 20130827
Panda Generic Malware 20130827
PCTools 20130827
Rising 20130827
Sophos 20130827
SUPERAntiSpyware Trojan.Agent/Gen-MSFake 20130827
Symantec 20130827
TheHacker 20130826
TotalDefense 20130826
TrendMicro 20130827
TrendMicro-HouseCall 20130826
VBA32 20130827
VIPRE 20130827
ViRobot 20130827
Dicha version del ELISTARA 28.22 que lo detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy
saludos
ms, 27-8-2013
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.