ANALISIS Y CONTROL DEL FINFISHER PUBLICADO POR WIKILEAKS

Publicado el 16 septiembre 2014 ¬ 13:27 pmh.mscComentarios desactivados en ANALISIS Y CONTROL DEL FINFISHER PUBLICADO POR WIKILEAKS

Tal y como indicamos en la reciente Noticia al respecto, Wikileaks ha publicado varios malwares que son los que utilizan las Agencias Gubernamentales de algunos paises para espionaje selectivo, y una vez descargadas pasamos a analizarlas y controlarlas en la siguiente version 30.60 del ELISTARA de hoy

El primero de ellos lo controlan ya 45 de los 55 AV del virustotal, como puede verse en el siguiente informe:
MD5 074919f13d07cd6ce92bb0738971afc7
SHA1 9f9a18e81e9b39bd2f047004b8e3b4cb0fb505c9
Tamaño del fichero 771.5 KB ( 790016 bytes )
SHA256: f827c92fbe832db3f09f47fe0dcaafd89b40c7064ab90833a1f418f2d1e75e8e
Nombre: ia.dat
Detecciones: 45 / 55
Fecha de análisis: 2014-09-16 10:12:33 UTC ( hace 52 minutos )

0 22

Información de comportamiento
Antivirus Resultado Actualización
AVG PSW.Agent.AYBH.dropper 20140916
AVware Trojan.Win32.Generic!BT 20140916
Ad-Aware Backdoor.Generic.650950 20140916
Agnitum Backdoor.Agent!ejs1Q0FZqxs 20140916
AhnLab-V3 Win-Trojan/Seint.790016 20140916
Antiy-AVL Trojan[Backdoor]/Win32.Yurn 20140916
Avast Win32:Dropper-gen [Drp] 20140916
Avira TR/Crypt.XPACK.Gen3 20140916
Baidu-International Backdoor.Win32.Yurn.aWR 20140916
BitDefender Backdoor.Generic.650950 20140916
Bkav W32.Cloddbc.Trojan.eb56 20140915
ClamAV Trojan.Agent-247743 20140915
Comodo TrojWare.Win32.Trojan.Agent.Gen 20140916
DrWeb Trojan.Inject1.8894 20140916
ESET-NOD32 Win32/Belesak.A 20140916
Emsisoft Backdoor.Generic.650950 (B) 20140916
F-Secure Trojan-Spy:W32/FinSpy.P 20140916
Fortinet W32/Malware_fam.NB 20140916
GData Backdoor.Generic.650950 20140916
Ikarus Trojan-Spy.FinSpy 20140916
Jiangmin Trojan/Menti.dke 20140915
K7AntiVirus Riskware ( 0015e4f01 ) 20140915
K7GW Riskware ( 0015e4f01 ) 20140915
Kaspersky Backdoor.Win32.Yurn.a 20140916
Malwarebytes Spyware.InfoStealer 20140916
McAfee RDN/Generic BackDoor!zu 20140916
McAfee-GW-Edition BehavesLike.Win32.Expiro.bc 20140916
MicroWorld-eScan Backdoor.Generic.650950 20140916
Microsoft Trojan:Win32/Yurn.A 20140916
NANO-Antivirus Trojan.Win32.Menti.daocd 20140916
Norman Suspicious_Gen2.MRXNL 20140915
Panda Trj/CI.A 20140916
Qihoo-360 Win32/Trojan.Dropper.c9f 20140916
Rising PE:Trojan.Win32.Generic.12E554AF!317019311 20140915
Sophos Troj/Mdrop-EFP 20140916
Symantec Backdoor.Finfish 20140916
Tencent Win32.Backdoor.Yurn.Eer 20140916
TheHacker Trojan/Injector.ikw 20140915
TrendMicro TROJ_GEN.R03AC0EIF14 20140916
TrendMicro-HouseCall TROJ_GEN.R03AC0EIF14 20140916
VBA32 Backdoor.Yurn.2641 20140916
VIPRE Trojan.Win32.Generic!BT 20140916
ViRobot Trojan.Win32.Agent.790016.A 20140916
Zillya Trojan.Injector.Win32.165373 20140915
nProtect Backdoor.Generic.650950 20140916
________
El segundo de los ficheros descargados , mas de lo mismo, ya en esta caso con 47 de 55 los que lo controlan
MD5 1d8ea40a41988b9c3db9eff5fce3abe5
SHA1 58efd5f3994a4c3a42590b1c24032b89c4ecedda
Tamaño del fichero 619.5 KB ( 634368 bytes )
SHA256: 0b465877a998a993a64a146c80beaea2adf8e854644709706c6173a853ec8dba
Nombre: finfisher.2.exe.bin
Detecciones: 47 / 55
Fecha de análisis: 2014-09-16 08:23:28 UTC ( hace 2 horas, 44 minutos )

0 13
Antivirus Resultado Actualización
AVG PSW.Agent.AYBH.dropper 20140916
AVware Trojan.Win32.Generic!BT 20140916
Ad-Aware Backdoor.Generic.650950 20140916
Agnitum Trojan.Menti!KepLgSqXjDA 20140916
AhnLab-V3 Win-Trojan/Seint.634368 20140916
Antiy-AVL Trojan[Backdoor]/Win32.Yurn 20140916
Avast Win32:Dropper-gen [Drp] 20140916
Avira TR/Crypt.XPACK.Gen3 20140916
Baidu-International Trojan.Win32.Yurn.aY 20140916
BitDefender Backdoor.Generic.650950 20140916
Bkav W32.Clod3ad.Trojan.3caf 20140915
CAT-QuickHeal TrojanDropper.Yurn.r3 20140916
ClamAV Trojan.Agent-247743 20140915
Comodo TrojWare.Win32.Trojan.Agent.Gen 20140916
DrWeb Trojan.Inject1.8894 20140916
ESET-NOD32 Win32/Belesak.A 20140916
Emsisoft Backdoor.Generic.650950 (B) 20140916
F-Secure Trojan-Spy:W32/FinSpy.P 20140916
Fortinet W32/Dx.XTT!tr 20140916
GData Backdoor.Generic.650950 20140916
Ikarus Trojan-PWS.YUS 20140916
Jiangmin Trojan/Menti.dke 20140915
K7AntiVirus Trojan ( 002a36e61 ) 20140915
K7GW Trojan ( 002a36e61 ) 20140915
Kaspersky Trojan-Dropper.Win32.Yurn.a 20140916
Kingsoft Win32.Troj.Generic.(kcloud) 20140916
Malwarebytes Spyware.InfoStealer 20140916
McAfee RDN/Suspicious.bfr!bh 20140916
McAfee-GW-Edition BehavesLike.Win32.Expiro.jc 20140916
MicroWorld-eScan Backdoor.Generic.650950 20140916
Microsoft Trojan:Win32/Yurn.A 20140916
NANO-Antivirus Trojan.Win32.Menti.daocd 20140916
Norman Suspicious_Gen2.KVISG 20140915
Panda Trj/CI.A 20140915
Qihoo-360 Win32/Trojan.767 20140916
Rising PE:Worm.VBInjectEx!1.99E6 20140915
Sophos Troj/Mdrop-EFP 20140916
Symantec Trojan.Gen 20140916
Tencent Win32.Trojan-dropper.Yurn.Eaxy 20140916
TheHacker Trojan/Menti.hty 20140915
TrendMicro TROJ_SPNR.30FT12 20140916
TrendMicro-HouseCall TROJ_SPNR.30FT12 20140916
VBA32 Backdoor.Yurn.2641 20140916
VIPRE Trojan.Win32.Generic!BT 20140916
ViRobot Dropper.A.Yurn.634368 20140916
Zillya Dropper.Yurn.Win32.1 20140915
nProtect Backdoor/W32.Agent.634368 20140915

________
Y los ultimos tres ficheros descargados ofrecen 10, 16 y 25 detecciones respectivamente:

MD5 9568307f1bada3b2e083f6d68adb0358
SHA1 85ccfa4517e933843c2df41dc19ebdc2c0b3c037
Tamaño del fichero 25.5 KB ( 26112 bytes )
SHA256: eaceeaf01994cc8fe3d17eb3a668a344c5f7490b697ec2c07587e141a6473069
Nombre: bundler.exe
Detecciones: 10 / 55
Fecha de análisis: 2014-09-15 16:34:37 UTC ( hace 18 horas, 38 minutos )

0 1
Antivirus Resultado Actualización
AVG Win32/DH{gRKBEwNQgQccUxVRCg} 20140915
Avira TR/Injector.26112.7 20140915
Comodo UnclassifiedMalware 20140915
ESET-NOD32 a variant of Win32/Injector.IKW 20140915
Fortinet W32/IKW!tr 20140915
Ikarus Trojan-PWS.YUS 20140915
K7AntiVirus Trojan ( 002a36e61 ) 20140915
K7GW Trojan ( 002a36e61 ) 20140915
McAfee Artemis!9568307F1BAD 20140915
McAfee-GW-Edition BehavesLike.Win32.Backdoor.mm 20140915

el segundo de los tres ultimos ofrece 16 detecciones:
MD5 09c9bcb60cd3da0da1a15a9869680021
SHA1 1eb1c408a63891f617dade5eb7298757fc08aa02
Tamaño del fichero 569.0 KB ( 582656 bytes )
MD5 09c9bcb60cd3da0da1a15a9869680021
SHA1 1eb1c408a63891f617dade5eb7298757fc08aa02
SHA256 8439c21b192da34ba99f1f5a801a030a374a3ba8f8032057ccf6778b91f35fa9
ssdeep6144:PX/VOCWQf1ML0PlVyQLJX7PhoMGGGGGGGGGGbGGGGGGGGGG6GG/DGXxeXJE85PmR:nV2Qf14aMQF1KHjlex1kfgjdw4n
authentihash 1e128c7c350048dc63b05ba490a92b837bc08335bdc7272d29aad0a9b4f567bd
imphash 91ef083650148b112b02f00ebe3b1d03
Tamaño del fichero 569.0 KB ( 582656 bytes )

SHA256: 8439c21b192da34ba99f1f5a801a030a374a3ba8f8032057ccf6778b91f35fa9
Nombre: bundledoc.exe
Detecciones: 16 / 55
Fecha de análisis: 2014-09-15 16:34:25 UTC ( hace 18 horas, 38 minutos )

0 1
Antivirus Resultado Actualización
AVG Win32/DH{gRKBEwNQgQccUxVRCg} 20140915
Ad-Aware Trojan.GenericKD.1862038 20140915
Avira TR/Injector.582656.1 20140915
BitDefender Trojan.GenericKD.1862038 20140915
Comodo UnclassifiedMalware 20140915
ESET-NOD32 a variant of Win32/Injector.IKW 20140915
Emsisoft Trojan.GenericKD.1862038 (B) 20140915
Fortinet W32/IKW!tr 20140915
GData Trojan.GenericKD.1862038 20140915
Ikarus Trojan-PWS.YUS 20140915
K7AntiVirus Trojan ( 002a36e61 ) 20140915
K7GW Trojan ( 002a36e61 ) 20140915
McAfee Artemis!09C9BCB60CD3 20140915
McAfee-GW-Edition BehavesLike.Win32.Almanahe.hm 20140915
MicroWorld-eScan Trojan.GenericKD.1862038 20140915
Qihoo-360 HEUR/QVM41.1.Malware.Gen 20140915

y el tercero el virustotal ofrece actualmenet 25 detecciones:

MD5 99e62264dd28e84e6907914f48bb7363
SHA1 b97759b38a7290faba923d19e35f3753fc2c78f7
Tamaño del fichero 166.0 KB ( 169984 bytes )
SHA256: 6d12f1eecf4027df1c9307c56a2047b2ba4cdb2702560af0d7508f9a7afd0614
Nombre: buildx.exe
Detecciones: 25 / 55
Fecha de análisis: 2014-09-16 08:22:35 UTC ( hace 3 horas )

0 1
Antivirus Resultado Actualización
AVG SHeur2.CCRI 20140916
Ad-Aware Trojan.GenericKD.1862104 20140916
Antiy-AVL Trojan[:HEUR]/Win32.Unknown 20140916
Avast Win32:Malware-gen 20140916
Avira TR/Crypt.XPACK.Gen 20140916
BitDefender Trojan.GenericKD.1862104 20140916
Comodo UnclassifiedMalware 20140916
ESET-NOD32 a variant of Win32/Belesak.A 20140916
Emsisoft Trojan.GenericKD.1862104 (B) 20140916
F-Secure Trojan.GenericKD.1862104 20140916
Fortinet W32/Generic.A!tr 20140916
GData Trojan.GenericKD.1862104 20140916
Ikarus Trojan-PWS.YUS 20140916
K7AntiVirus Trojan ( 0038291d1 ) 20140915
K7GW Trojan ( 0038291d1 ) 20140915
Kaspersky HEUR:Trojan.Win32.Generic 20140916
McAfee Artemis!99E62264DD28 20140916
McAfee-GW-Edition BehavesLike.Win32.Virut.cc 20140916
MicroWorld-eScan Trojan.GenericKD.1862104 20140916
NANO-Antivirus Trojan.Win32.PEF.dfdscn 20140916
Panda Trj/Chgt.F 20140915
Qihoo-360 HEUR/Malware.QVM06.Gen 20140916
Sophos Mal/Generic-S 20140916
Tencent Win32.Trojan.Generic.Hxgg 20140916
VBA32 Trojan.Genome.on 20140916

Todas estas variantes son controladas a partir del ELISTARA 30.670, que estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos

ms, 16-9-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies