PICARO WORM QUE CREA LINK EN INICIO CON EL NOMBRE DE “(Vacio)” EXPRESAMENTE ENGAÑOSO
Un HTA (HTML COMPILADO) contiene un gusano que engaña a quien lo tiene, al crear un link en la carpeta INICIO que se presenta con el nombre de (Vacio) de forma que el usuario crea que no contiene nada, cuando realmente lanza dicho gusano.
Al ejecutarlo inicialmente, mientras se instala, visualiza estos mensajes:
“Mensaje de usuario de Explorer”
“Mensaje del script
Escriba la contraseña para ver la foto”
[ Aceptar ] [ Cancelar ]
Queda residente (proceso activo “MSHTA.EXE”)
dicho MSHTA lanza el “%Impresoras%\ Default Printer.hta”
Y el enlace de INICIO con el nombre de Vacio, ejecuta el HTA malicioso:
%WinIni%\ (Vacío).lnk -> apunta a “Default Printer.hta”
Lo pasamos a controlar a partir del ELISTARA 32.90
El preanalisis de virustotal ofrece el siguiente informe:
MD5 d62dfc4504bb16f5c01bfd9b67fa5db8
SHA1 19118558acb963ae60b86c7de9aa70e19ef0e00d
SHA256 a8f3d2d44754a494674667120ee94c55e1d8e9fe18054469676d40c59dde3621
ssdeep96:yzGyAdtCYXlCbHueSwqIw8d9eHODPO6lHJz/YIEEIMZ4:I9AW51dP1IMS
File size 4.7 KB ( 4787 bytes )
SHA256: a8f3d2d44754a494674667120ee94c55e1d8e9fe18054469676d40c59dde3621
File name: Default Printer.hta
Detection ratio: 18 / 57
Analysis date: 2015-09-09 07:10:14 UTC ( 1 minute ago )
0 1
Antivirus Result Update
ALYac JS:Trojan.Script.CFU 20150909
AVG JS/Agent.AX 20150909
Ad-Aware JS:Trojan.Script.CFU 20150909
Arcabit JS:Trojan.Script.CFU 20150909
Avast HTML:HTA-G [Trj] 20150909
BitDefender JS:Trojan.Script.CFU 20150909
ESET-NOD32 HTML/Agent.AR 20150909
Emsisoft JS:Trojan.Script.CFU (B) 20150909
F-Secure JS:Trojan.Script.CFU 20150909
Fortinet PossibleThreat.P0 20150909
GData JS:Trojan.Script.CFU 20150909
MicroWorld-eScan JS:Trojan.Script.CFU 20150909
Microsoft Worm:HTML/Ypocath.A 20150909
NANO-Antivirus Trojan.Script.Expack.csdcpq 20150908
Qihoo-360 Trojan.Generic 20150909
TrendMicro WORM_HTACOPY.SMJ 20150909
TrendMicro-HouseCall WORM_HTACOPY.SMJ 20150909
nProtect JS:Trojan.Script.CFU 20150908
Como puede verse aun no lo controlan ni McAfee ni Kaspersky, por lo que ya les hemos enviado muestra para su control e inclusión en la siguiente actualización de sus antivirus.
El ELISTARA 32.90 que lo detecta y elimina, ya está disponible en nuestra web.
saludos
SATINFO, 9-9-2015
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.