Nuevo método de ingresar el CRYPTOLOCKER : Ahora a traves de la ejecución de un downloader SOUNDER

Publicado el 10 diciembre 2014 ¬ 17:22 pmh.mscComentarios desactivados en Nuevo método de ingresar el CRYPTOLOCKER : Ahora a traves de la ejecución de un downloader SOUNDER

La frecuencia de anexados con downloader SOUNDER en los mails recientes, nos ha hecho sospechar de que, ademas de descargar conocidos malwares como COMROKI, KEGOTIP , etc, tambien podían descargar otros mas temibles, como el CRYPTOLOCKER

Y sin que lo haga siempre, sino cuando quiere el hacker, el mismo enlace de descarga de los malwares simples, descargan una variante del temible CRYPTOLOCKER, como ha sido el caso de este :

Este Order.PDF.EXE lo controlamos inicialmente como DOWNLOADER SOUNDER

MD5 fc11a0b7dd322acc9bc44c488655e406
SHA1 0b2e29a827e7ec16e7332ded2bbfee00bd5c6ce5
Tamaño del fichero 136.0 KB ( 139264 bytes )
SHA256: e6a5b10294cb095536ee114e617f6a08efa4e6a11f2e6abb4beedeba92e527a7
Nombre: Order_Pdf________________________________________________________…EXE
Detecciones: 14 / 56
Fecha de análisis: 2014-12-10 15:12:56 UTC
0 1
Antivirus Resultado Actualización
AVG Inject2.BHOQ 20141210
Baidu-International Trojan.Win32.Injector.BBRAB 20141210
Bkav W32.HfsAutoA.CE68 20141210
ByteHero Virus.Win32.Heur.c 20141210
ESET-NOD32 a variant of Win32/Injector.BRAB 20141210
Fortinet W32/Injector.BQLO!tr 20141210
Kaspersky HEUR:Trojan.Win32.Generic 20141210
Malwarebytes Trojan.Crypt.NKN 20141210
McAfee-GW-Edition BehavesLike.Win32.Downloader.ch 20141210
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20141210
Sophos Mal/VB-AOG 20141210
Symantec Trojan.Zbot 20141210
TrendMicro TROJ_INJECT.YYXG 20141210
TrendMicro-HouseCall TROJ_INJECT.YYXG 20141210

Pero su ejecucion en cierto momento nos ha descargado este CRYPTOLOCKER
MD5 6545d3d68c2c8f0b7d48c977893f0ab7
SHA1 65be0744e2c1f3a041a3ccbe9f31db98fd8593a6
Tamaño del fichero 276.0 KB ( 282624 bytes )

SHA256: e48134b9393964e4ffbef84e8ad74c1d2a556c5539451dbb24afd5e8c892ff8f
Nombre: KB00847678.exe
Detecciones: 13 / 56
Fecha de análisis: 2014-12-10 15:24:44 UTC ( hace 0 minutos )

0 1
Antivirus Resultado Actualización
AVG Inject2.BHOQ 20141210
Baidu-International Trojan.Win32.Injector.BBRAB 20141210
Bkav W32.HfsAutoA.964B 20141210
ByteHero Virus.Win32.Heur.c 20141210
ESET-NOD32 a variant of Win32/Injector.BRAB 20141210
Fortinet W32/Injector.BQLO!tr 20141210
Kaspersky HEUR:Trojan.Win32.Generic 20141210
Malwarebytes Trojan.Crypt.NKN 20141210
McAfee Artemis!6545D3D68C2C 20141210
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.dc 20141210
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20141210
Sophos Mal/VB-AOG 20141210
TrendMicro-HouseCall Suspicious_GEN.F47V1210 20141210

Como se ve, tanto McAfee como Kaspersky lo detectan heuristicamente, y al respecto conviene saber que en VirusTotal tienen la sensibilidad heuristica de McAfee simplemente a nivel ALTO, asi que en esta ocasion es suficiente para detectarlo, si bien recomendamos, si la CPU del ordenador lo permite, configurarlo a nivel MUY ALTO , pues hemos comprobado que esta otra variante del que no aparece la detección de McAfee en el informe de virustotal, el escaneo de dicho fichero con heuristica a nivel MUYALTO, si que es detectado:

https://blog.satinfo.es/wp-admin/post.php?post=56707&action=edit&message=1
y en un escaneo bajo demanda,de dicho fichero, con NIVEL MUY ALTO, el VirusScan ofrece esta detección:

my_photo_home_38472398472398749283.exe Artemis!3F45BA0296E5 (Troyano)

Asi que si se quiere estar mas seguro, activar la heurística a NIVEL MUY ALTO, como venimos recomendando, además de lo que tantas veces hemos añadido al final de las NOTICIAS:

SE RECUERDA UNA VEZ MAS:

“no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias.”

Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.

y para los nuevas variantes de virus que mcafee controla heuristicamente, configurar a nivel MUY ALTO la sensibilidad heuristica en la Consola de Virusscan, tanto a nivel de RESIDENTE A TIEMPO REAL como el de escaneador en EXPLORACION COMPLETA -> RENDIMIENTO

saludos

ms, 10-12-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies