NUEVA VARIANTE DE MALWARE MOONLIGHT
Una nueva variante de este malware que se propaga por pendrive pasa a ser controlada a partir de ELISTARA 29.28 de hoy
Es un malware de dicifil eliminacion al utilizar 4 residentes simultaneos que se protegen uno al otro y se regeneran cuando se elimina cualquiera de ellos.
Se carga incluso arrancando en MODO SEGURO por lo que puede ser necesario arrancar con LIVE CD
Un resumen de este malware es:
Firma: %WinDir%\ [TheMoonlight].txt -> su contenido…
:: The NewMoonLight ::
Created by HeLLsPAwn A.K.A B4bb1cool
(c) 2006 Depok ~ Indonesia
– Crea 4 procesos activos, que quedan residentes (cada uno protege a los demas)
– Infecta Pendrives ocultando carpetas (+s+h) y copiandose con el nombre
de ellas + 35 espacios y al final .scr
– Modifica el fichero… %WinSys%\ msvbvm60.dll
– Modifica la descripcion del tipo de archivo “scrfile”
– Cambia la ubicación de la Carpeta de inicio de “All Users”
– Desactiva el Editor del Registro
– Deshabilita el Cortafuegos de Windows
– Oculta ficheros del sistema y extensiones. No permite modificar configuración.
El preanalisis de virustotal ofrece este informe:
MD5 5c58e370266f182e6507d2aef55228e6
SHA1 e43c9beff365596525cd28debbc572761e4e71d5
File size 32.0 KB ( 32768 bytes )
SHA256: e250f4a66913d9ddd2ff688a44f0ec3e598cd16dfc50ebcd55ee92d23815a126
Nombre: New Folder.scr
Detecciones: 48 / 49
Fecha de análisis: 2014-02-03 08:34:21 UTC ( hace 0 minutos )
0 2
Antivirus Resultado Actualización
AVG Worm/VB.UG 20140202
Ad-Aware Win32.Worm.Brontok.BI 20140203
Agnitum I-Worm.Lightmoon.J 20140202
AhnLab-V3 Win-Trojan/Agent2.32768.AF 20140202
AntiVir Worm/VB.CZ.14.A 20140203
Antiy-AVL Worm/Win32.VB.gen 20140202
Avast Win32:VB-BQD [Wrm] 20140203
Baidu-International Trojan.Win32.PEF13C.at 20140203
BitDefender Win32.Worm.Brontok.BI 20140203
Bkav W32.MoonLightCP.Worm 20140125
CAT-QuickHeal Worm.VB.cz.nw2 20140203
CMC Worm.Win32.VB!O 20140122
ClamAV Worm.VB-89 20140203
Commtouch W32/Worm.KYPY-0738 20140203
Comodo Worm.Win32.NoonLight.B 20140203
DrWeb Trojan.MulDrop.59624 20140203
ESET-NOD32 Win32/NoonLight.B 20140202
Emsisoft Win32.Worm.Brontok.BI (B) 20140203
F-Prot W32/Worm.AJ 20140201
Fortinet W32/Bobandy.CZ!worm 20140203
GData Win32.Worm.Brontok.BI 20140203
Ikarus Trojan.Win32.Agent2 20140203
Jiangmin I-Worm/VB.acg 20140203
K7AntiVirus EmailWorm ( 0000fb5b1 ) 20140131
K7GW Trojan ( 0000fb5b1 ) 20140131
Kaspersky Trojan.Win32.PEF13C.rjg 20140203
Kingsoft Worm.VB.cz.(kcloud) 20130829
Malwarebytes Worm.AutoRun 20140203
McAfee W32/MoonLight.worm 20140203
McAfee-GW-Edition W32/MoonLight.worm 20140203
MicroWorld-eScan Win32.Worm.Brontok.BI 20140203
Microsoft Worm:Win32/Lightmoon.H 20140203
NANO-Antivirus Trojan.Win32.VB.crsvto 20140203
Norman Lightmoon.Z 20140203
Panda W32/Moonlight.A.worm 20140202
Qihoo-360 Worm.Win32.Brontok.B 20140127
Rising PE:Malware.FakeFolder@CV!1.6AA9 20140202
SUPERAntiSpyware Trojan.Agent/Gen-Pakon 20140202
Sophos W32/Bobandy-D 20140203
Symantec tokbro@mm”>W32.Rontokbro@mm 20140203
TheHacker W32/VB.cz 20140203
TotalDefense Win32/Kumoo.B 20140202
TrendMicro WORM_MOONLIGHT.B 20140203
TrendMicro-HouseCall WORM_MOONLIGHT.B 20140203
VBA32 Worm.VB 20140203
VIPRE Trojan.Win32.Generic!BT 20140203
ViRobot Worm.Win32.S.VB.32768.D 20140203
nProtect Worm/W32.Moonlight.32768 20140203
Dicha version del ELISTARA 29.28 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 3-2-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.