NUEVA VARIANTE DE MALWARE JS.CRISAS (ALIAS BONDAT) QUE AFECTA Y SE PROPAGA POR PENDRIVE
Aun muy poco controlado, y aunque nosotros iniciamos su detección como JS.CRISAS, vemos que los antivirus van adaptando el alias de JS/Bondat, aunque cuando solo lo detectan 4 de 54 AV de virustotal, y ya tenemos claro los EXE que infectan a los ordenadores y crean en el pendrive un .JS que esconde en una carpeta de nombre variable dentro de la de TRASHES que es donde esconde todo el contenido original del pendrive, con atributo de oculto.
Aparte, en el ordenador, crea EXES, de nombre lógico, copia del WSCRIPT.EXE con los que ejecuta el JS, el cual esconde dentro de una carpeta de nombre variable dentro de la del usuario.
Lo pasamos a controlar a partir del ELISTARA 30.81
El preanalisis de virustotal ofrece el siguiente informe:
MD5 35341081fd8684c11e8b17f5fbd6f2c9
SHA1 29a5fd61d03547f87eb19bc2a0b37ca2cb5d9c73
Tamaño del fichero 42.3 KB ( 43322 bytes )
SHA256: 20bc018647a5887f557d6b04f698ed7ee8f8b2b9c2215019a718a4b56cc0bdf2
Nombre: xnlobertl.js
Detecciones: 4 / 54
Fecha de análisis: 2014-10-17 08:23:54 UTC ( hace 0 minutos )
0 1
Antivirus Resultado Actualización
ESET-NOD32 JS/Bondat.A 20141017
Kaspersky Trojan.JS.Agent.ciw 20141017
Microsoft Trojan:JS/Bondat.A 20141017
Sophos JS/Bondat-C 20141017
Dicha version del ELISTARA 30.81 que lo detecta y elimina, ya está disponible en nuestra web
saludos
ms, 17-10-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.