Nuevas 4 variantes de malwares descargados por el FAKE WRITE
Han sido varios los ficheros que ha descargado el FAKE WRITE, de los cuales hay downloader Tepfers, keylogger, Ransom.Pass y Downloader Andromeda
Uno de ellos ha sido este Downloader Tepfer, cuyo preanalisis con el virustotal ofrece el siguiente informe:
SHA256: 6a475d5e176bc58ccd98b34270620e4b6400dea56fdaabb4724b958a9c4d7246
SHA1: 1328453555ffd8ef94c62353b6857ceaef09be04
MD5: 78714846310fe6fb4a26cb9a1424f63c
Tamaño: 34.0 KB ( 34816 bytes )
Nombre: output.9092444.txt
Tipo: Win32 EXE
Etiquetas: peexe upx
Detecciones: 25 / 46
Fecha de análisis: 2013-01-14 21:15:58 UTC
Antivirus Resultado Actualización
Agnitum – 20130114
AhnLab-V3 Trojan/Win32.Jorik 20130114
AntiVir TR/Crypt.XPACK.Gen3 20130114
Antiy-AVL – 20130114
Avast Win32:Agent-AOOD [Trj] 20130114
AVG Win32/Heur 20130114
BitDefender Gen:Variant.Kazy.61489 20130114
ByteHero – 20130107
CAT-QuickHeal – 20130114
ClamAV – 20130114
Commtouch – 20130114
Comodo – 20130114
DrWeb Trojan.PWS.Stealer.1932 20130114
Emsisoft Gen:Variant.Kazy.61489 (B) 20130114
eSafe – 20130113
ESET-NOD32 a variant of Win32/PSW.Fareit.A 20130114
F-Prot – 20130114
F-Secure Gen:Variant.Kazy.61489 20130114
Fortinet W32/Agent.NTM!tr 20130113
GData Gen:Variant.Kazy.61489 20130114
Ikarus Trojan-PWS.Win32.Fareit 20130114
Jiangmin – 20121221
K7AntiVirus – 20130114
Kaspersky HEUR:Trojan.Win32.Generic 20130114
Kingsoft Win32.Troj.Undef.(kcloud) 20130107
Malwarebytes – 20130114
McAfee Artemis!78714846310F 20130114
McAfee-GW-Edition Artemis!78714846310F 20130114
Microsoft PWS:Win32/Fareit.gen!I 20130114
MicroWorld-eScan – 20130114
NANO-Antivirus – 20130114
Norman W32/Fareit.T 20130114
nProtect – 20130114
Panda Trj/Genetic.gen 20130114
PCTools Downloader.Ponik 20130114
Rising Trojan.PSW.Ldpinch!238F 20130114
Sophos – 20130114
SUPERAntiSpyware – 20130114
Symantec Downloader.Ponik 20130114
TheHacker Posible_Worm32 20130114
TotalDefense – 20130114
TrendMicro BKDR_PONY.SM 20130114
TrendMicro-HouseCall BKDR_PONY.SM 20130114
VBA32 – 20130114
VIPRE – 20130114
ViRobot – 20130114
El siguiente lo pasamos a controlar como KEYLOGGER, y el preanalisis con VirScan ofrece el siguiente informe:
Scanned time : 2013/01/16 18:11:59 (CET)
Scanner results: 16% Escaner (6/37) encontró infección
File Name : 0m11bob3p8.exe
File Size : 195874 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 93c0b885970cc0193bfbe3549579ebad
SHA1 : 3bcbc5c88b5c0cdc059e7b226d4e9a226f2fdbc9
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 5.1.0.4 20130116200302 2013-01-16 23.44 Trojan-Downloader.Win32.Androm!A2
AhnLab V3 2013.01.16.00 2013.01.16 2013-01-16 3.63 –
AntiVir 8.2.10.202 7.11.50.58 2012-11-16 0.19 –
Antiy 2.0.18 2.0.18. 0002-18-00 0.17 –
Arcavir 2011 201212180022 2012-12-18 4.25 –
Authentium 5.1.1 201301160643 2013-01-16 1.54 –
AVAST! 4.7.4 130115-1 2013-01-15 0.23 –
AVG 12.0.1794 2638/5537 2013-01-16 0.25 Downloader.Generic13.ZMB
BitDefender 7.90123.8621626 7.44878 2013-01-16 5.39 –
ClamAV 0.97.5 16502 2013-01-16 0.31 –
Comodo 5.1 14933 2013-01-16 2.36 Heur.Suspicious
CP Secure 1.3.0.5 2013.01.16 2013-01-16 0.25 –
Dr.Web 7.0.4.9250 2013.01.16 2013-01-16 15.63 Trojan.Packed.23768
F-Prot 4.6.2.117 20130116 2013-01-16 0.93 –
F-Secure 7.02.73807 2013.01.16.02 2013-01-16 2.95 –
Fortinet 4.3.392 16.549 2013-01-16 0.14 –
GData 22.7446 20130116 2013-01-16 9.99 –
ViRobot 20130116 2013.01.16 2013-01-16 0.52 –
Ikarus T3.1.32.20.0 2013.01.16.83222 2013-01-16 8.95 –
JiangMin 13.0.900 2012.12.21 2012-12-21 2.49 –
Kaspersky 5.5.10 2013.01.16 2013-01-16 0.35 Trojan-Downloader.Win32.Andromeda.pep
KingSoft 2009.2.5.15 2013.1.16.9 2013-01-16 1.12 –
McAfee 5400.1158 6956 2013-01-15 11.39 –
Microsoft 1.9002 2013.01.15 2013-01-15 8.35 –
NOD32 3.0.21 7898 2013-01-16 0.22 a variant of Win32/Injector.ABHX trojan
Norman 6.8.3 201208311030 2012-08-31 0.00 –
Panda 9.05.01 2013.01.14 2013-01-14 2.75 –
Trend Micro 9.500-1005 9.660.03 2013-01-15 0.23 –
Quick Heal 11.00 2013.01.16 2013-01-16 1.45 –
Rising 20.0 24.45.02.01 2013-01-16 3.19 –
Sophos 3.35.1 4.81 2013-01-16 5.12 –
Sunbelt 3.9.2557.2 15050 2013-01-15 1.28 –
Symantec 1.3.0.24 20130115.002 2013-01-15 0.56 –
nProtect 20130115.01 13397740 2013-01-15 2.42 –
The Hacker 6.8.0.0 v00175 2013-01-14 0.82 –
VBA32 3.12.18.4 20130115.1313 2013-01-15 4.06 –
VirusBuster 5.5.2.13 15.0.318.0/107111192013-01-15 0.28 –
El siguiente es otro Ransom.Pass, con el nolmbre de FacBook.exe, como el ya analizado esta mañana, posiblemente tambien descargado por otro Fake Write:
Scanned time : 2013/01/16 18:24:04 (CET)
Scanner results: 8% Escaner (3/37) encontró infección
File Name : FacbookUpdate.exe
File Size : 419328 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit Mono
MD5 : 3171fad5113fe6698d7c91e61ccf7599
SHA1 : dc4dcb54e0673beabb2349cfde79a1a8c8f623c5
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 5.1.0.4 20130116200302 2013-01-16 10.73 –
AhnLab V3 2013.01.16.00 2013.01.16 2013-01-16 6.58 –
AntiVir 8.2.10.202 7.11.50.58 2012-11-16 0.18 –
Antiy 2.0.18 2.0.18. 0002-18-00 0.26 –
Arcavir 2011 201212180022 2012-12-18 4.65 –
Authentium 5.1.1 201301160643 2013-01-16 1.69 –
AVAST! 4.7.4 130115-1 2013-01-15 0.25 Win32:AutoRun-CYI [Trj]
AVG 12.0.1794 2638/5537 2013-01-16 0.50 Generic31.EFF
BitDefender 7.90123.8621626 7.44878 2013-01-16 8.07 –
ClamAV 0.97.5 16502 2013-01-16 2.94 –
Comodo 5.1 14933 2013-01-16 2.33 –
CP Secure 1.3.0.5 2013.01.16 2013-01-16 0.42 –
Dr.Web 7.0.4.9250 2013.01.16 2013-01-16 15.68 –
F-Prot 4.6.2.117 20130116 2013-01-16 0.90 –
F-Secure 7.02.73807 2013.01.16.02 2013-01-16 0.32 –
Fortinet 4.3.392 16.549 2013-01-16 3.65 –
GData 22.7446 20130116 2013-01-16 10.67 –
ViRobot 20130116 2013.01.16 2013-01-16 0.71 –
Ikarus T3.1.32.20.0 2013.01.16.83222 2013-01-16 7.89 –
JiangMin 13.0.900 2012.12.21 2012-12-21 2.78 –
Kaspersky 5.5.10 2013.01.16 2013-01-16 0.32 Trojan-Ransom.Win32.Blocker.aixv
KingSoft 2009.2.5.15 2013.1.16.9 2013-01-16 1.38 –
McAfee 5400.1158 6956 2013-01-15 14.22 –
Microsoft 1.9002 2013.01.15 2013-01-15 8.71 –
NOD32 3.0.21 7898 2013-01-16 0.32 –
Norman 6.8.3 201208311030 2012-08-31 0.00 –
Panda 9.05.01 2013.01.14 2013-01-14 6.64 –
Trend Micro 9.500-1005 9.660.03 2013-01-15 1.13 –
Quick Heal 11.00 2013.01.16 2013-01-16 3.67 –
Rising 20.0 24.45.02.01 2013-01-16 4.29 –
Sophos 3.35.1 4.81 2013-01-16 6.08 –
Sunbelt 3.9.2557.2 15050 2013-01-15 2.13 –
Symantec 1.3.0.24 20130115.002 2013-01-15 0.58 –
nProtect 20130115.01 13397740 2013-01-15 3.05 –
The Hacker 6.8.0.0 v00175 2013-01-14 1.00 –
VBA32 3.12.18.4 20130115.1313 2013-01-15 5.85 –
VirusBuster 5.5.2.13 15.0.318.0/107111192013-01-15 0.20 –
NOTA: Fijarse que el fichero donde se oculta este malwate se llama Facbook, muy parecido a Facebook con el que sin duda quiere que se confunda.
y el ultimo de los cuatro, este Downloader Andromeda, que solo detectan actualmente 5 AV de 37
Scanned time : 2013/01/16 17:57:42 (CET)
Scanner results: 14% Escaner (5/37) encontró infección
File Name : 00bcd0f7.exe
File Size : 58146 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : ae18cb46b04fcc8827164d6b3871225e
SHA1 : c0b524c834d5f65ab0b25ba6e9af756b4d9dd3d7
Online report : http://r.virscan.org/07d49f519843f3ebb0218f6ffb4ceb54
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 5.1.0.4 20130116200302 2013-01-16 11.40 Trojan-Downloader.Win32.Androm!A2
AhnLab V3 2013.01.16.00 2013.01.16 2013-01-16 3.56 –
AntiVir 8.2.10.202 7.11.50.58 2012-11-16 0.27 –
Antiy 2.0.18 2.0.18. 0002-18-00 0.28 –
Arcavir 2011 201212180022 2012-12-18 6.31 –
Authentium 5.1.1 201301160643 2013-01-16 2.11 –
AVAST! 4.7.4 130115-1 2013-01-15 0.30 –
AVG 12.0.1794 2638/5537 2013-01-16 0.36 Downloader.Generic13.ZMB
BitDefender 7.90123.8621626 7.44878 2013-01-16 7.18 –
ClamAV 0.97.5 16502 2013-01-16 0.23 –
Comodo 5.1 14933 2013-01-16 3.06 –
CP Secure 1.3.0.5 2013.01.16 2013-01-16 0.38 –
Dr.Web 7.0.4.9250 2013.01.16 2013-01-16 21.41 Trojan.Packed.23768
F-Prot 4.6.2.117 20130116 2013-01-16 1.15 –
F-Secure 7.02.73807 2013.01.16.02 2013-01-16 1.09 –
Fortinet 4.3.392 16.549 2013-01-16 0.21 –
GData 22.7446 20130116 2013-01-16 15.61 –
ViRobot 20130116 2013.01.16 2013-01-16 0.51 –
Ikarus T3.1.32.20.0 2013.01.16.83222 2013-01-16 12.89 –
JiangMin 13.0.900 2012.12.21 2012-12-21 2.56 –
Kaspersky 5.5.10 2013.01.16 2013-01-16 0.59 Trojan-Downloader.Win32.Andromeda.pep
KingSoft 2009.2.5.15 2013.1.16.9 2013-01-16 1.27 –
McAfee 5400.1158 6956 2013-01-15 14.36 –
Microsoft 1.9002 2013.01.15 2013-01-15 13.81 –
NOD32 3.0.21 7898 2013-01-16 0.19 a variant of Win32/Injector.ABHX trojan
Norman 6.8.3 201208311030 2012-08-31 0.00 –
Panda 9.05.01 2013.01.14 2013-01-14 6.49 –
Trend Micro 9.500-1005 9.660.03 2013-01-15 0.20 –
Quick Heal 11.00 2013.01.16 2013-01-16 1.73 –
Rising 20.0 24.45.02.01 2013-01-16 3.95 –
Sophos 3.35.1 4.81 2013-01-16 7.41 –
Sunbelt 3.9.2557.2 15050 2013-01-15 3.23 –
Symantec 1.3.0.24 20130115.002 2013-01-15 0.59 –
nProtect 20130115.01 13397740 2013-01-15 2.92 –
The Hacker 6.8.0.0 v00175 2013-01-14 4.49 –
VBA32 3.12.18.4 20130115.1313 2013-01-15 3.85 –
VirusBuster 5.5.2.13 15.0.318.0/107111192013-01-15 0.25 –
Todos ellos pasan a ser controlados a partir del ELISTARA 26.88, que estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 16-1-2013
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.