NUEVO BACKDOOR CAPHAW.A (ROOTKIT)
Se trata de un ROOTKIT QUE SE OCULTA SI ESTÁ ACTIVO, por lo que si se sospecha de anomalía vírica, debe arrancarse en MODO SEGURO, en cuyo caso se controlará a partir del ELISTARA 28.70 de hoy.
Fijarse que para su ejecución, engaña al usuario con tecnicas de ingenieria social, aparentando ser un PDF (que anexa a un mail(, cuando realmente tiene doble extension .PDF.EXE , siendo la válida siempre la última, que es el EXE (además su icono es el típico de los PDF de Acrobat)
Además,
– Queda residente.
– Se autoborra.
– Con Tecnicas RootKit (oculta proceso, fichero y clave del registro)
– El Nonbre del Valor en el Registro, el del Fichero y su ubicación
varian en cada instalación
El preanalisis de virustotal ofrece este informe:
SHA256: aefb54d9903ab487bfeef2838f5996cfc630087329dbe4498692be473a3d8873
SHA1: 7fadfb1384f959a053f984a3764e5b186db6fd23
MD5: b513f6b5430c0cc28c4262f51bec028e
Tamaño: 380.0 KB ( 389120 bytes )
Nombre: invoice_111956.pdf.exe
Tipo: Win32 EXE
Etiquetas: peexe
Detecciones: 12 / 46
Fecha de análisis: 2013-11-05 06:11:56 UTC ( hace 3 horas, 10 minutos )
0 5 Más detalles Análisis File detail Información adicional Comentarios Votos Antivirus Resultado Actualización
Agnitum 20131104
AhnLab-V3 20131105
AntiVir 20131105
Antiy-AVL 20131101
Avast Win32:Malware-gen 20131105
AVG 20131104
Baidu-International 20131104
BitDefender 20131105
Bkav 20131105
ByteHero 20131104
CAT-QuickHeal 20131105
ClamAV 20131105
Commtouch 20131105
Comodo UnclassifiedMalware 20131105
DrWeb BackDoor.Caphaw.2 20131105
Emsisoft 20131105
ESET-NOD32 a variant of Win32/Kryptik.BODO 20131105
F-Prot 20131105
F-Secure 20131105
Fortinet 20131105
GData 20131105
Ikarus 20131105
Jiangmin TrojanDownloader.Genome.gg 20131105
K7AntiVirus 20131104
K7GW 20131104
Kaspersky Trojan.Win32.Agent.acqnm 20131105
Kingsoft 20130829
Malwarebytes Trojan.Inject 20131105
McAfee Artemis!B513F6B5430C 20131105
McAfee-GW-Edition Artemis!B513F6B5430C 20131104
Microsoft Backdoor:Win32/Caphaw.D 20131105
MicroWorld-eScan 20131028
NANO-Antivirus 20131105
Norman 20131104
nProtect 20131101
Panda Suspicious file 20131104
Rising 20131105
Sophos Mal/Generic-S 20131105
SUPERAntiSpyware 20131105
Symantec 20131105
TheHacker 20131103
TotalDefense 20131104
TrendMicro 20131105
TrendMicro-HouseCall 20131105
VBA32 20131104
VIPRE 20131105
ViRobot 20131105
Dicha version del ELISTARA 28.70 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saluidos
ms, 5-11-2013
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.