COMPLEMENTO DEL BLACKSHADE QUE ES CREADO POR DICHO MALWARE (alias Perseus)

A partir del ELISTARA 33.45 de hoy, pasamos a controlar esta nueva variante de malware, que nos ha creado la monitorización del analizado ayer que actualmente ya detectan 30 de 56 AV

SHA256: e3384ed0d22275cbebc797f10797586853019889dcc239c1b2695f0c22f5656c
File name: WindowsUpdate.exe
Detection ratio: 30 / 56
Analysis date: 2015-11-27 09:43:31 UTC ( 15 minutes ago )

0 1
Antivirus Result Update
ALYac Gen:Variant.Strictor.51243 20151127
AVG MSIL9.ANXS 20151127
AVware Trojan.Win32.Generic!BT 20151127
Ad-Aware Gen:Variant.MSILPerseus.2460 20151127
AhnLab-V3 Trojan/Win32.MDA 20151126
Antiy-AVL Trojan/Win32.TSGeneric 20151127
Arcabit Trojan.MSILPerseus.D99C 20151127
Avast Win32:Malware-gen 20151127
Avira TR/Dropper.MSIL.229780 20151127
Baidu-International Trojan.MSIL.Injector.MXF 20151127
BitDefender Gen:Variant.MSILPerseus.2460 20151127
DrWeb Trojan.PWS.Stealer.16236 20151127
ESET-NOD32 a variant of MSIL/Injector.MXF 20151127
Emsisoft Gen:Variant.MSILPerseus.2460 (B) 20151127
F-Secure Gen:Variant.MSILPerseus.2460 20151127
Fortinet PossibleThreat.P0 20151127
GData Gen:Variant.MSILPerseus.2460 20151127
Ikarus Trojan.Inject 20151127
K7AntiVirus Trojan ( 004d7e841 ) 20151127
K7GW Trojan ( 004d7e841 ) 20151127
Malwarebytes Spyware.PasswordStealer 20151127
McAfee Trojan-FHLT!7E04378A8CF5 20151127
McAfee-GW-Edition BehavesLike.Win32.Backdoor.cc 20151127
MicroWorld-eScan Gen:Variant.MSILPerseus.2460 20151127
Microsoft Trojan:Win32/Dynamer!ac 20151127
Panda Trj/GdSda.A 20151126
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20151127
Sophos Mal/MSIL-JX 20151127
Symantec SAPE.Heur.A98C0 20151126
VIPRE Trojan.Win32.Generic!BT 20151127

ASñade estas entradas al HOSTS, impidiendo acceder a las URL que se redireccionan a la 127.0.0.1 (LOCAL HOST) :
127.0.0.1 virustotal.com
127.0.0.1 razorscanner.com
127.0.0.1 scan.majyx.net
127.0.0.1 nodistribute.com
127.0.0.1 virusscan.jotti.org
127.0.0.1 anubis.iseclab.org
127.0.0.1 novirusthanks.org
127.0.0.1 virscan.org
127.0.0.1 metascan.org
127.0.0.1 metascan-online.com
127.0.0.1 virus-trap.org
127.0.0.1 viruschief.com
127.0.0.1 xcscanner.com
127.0.0.1 malwr.com
127.0.0.1 www.virustotal.com
127.0.0.1 www.xcscanner.com
127.0.0.1 www.razorscanner.com
127.0.0.1 www.scan.majyx.net
127.0.0.1 www.nodistribute.com
127.0.0.1 www.virusscan.jotti.org
127.0.0.1 www.viruschief.com
127.0.0.1 www.metascan-online.com
127.0.0.1 www.virus-trap.org
127.0.0.1 www.metascan.org
127.0.0.1 www.virscan.org
127.0.0.1 www.anubis.iseclab.org
127.0.0.1 www.novirusthanks.org
127.0.0.1 www.malwr.com
El preanalisis de virustotal ofrece el siguiente informe:
MD5 a05f03b3387a71fe1cbd516c4a9a6320
SHA1 d1ab9d5b7f2458c9d239c7373835cea51c7be85c
File size 9.5 KB ( 9728 bytes )
SHA256: f936fe73521c50c4dadf7c663ae979fc20d3cfc86f7b1e08cecd2ec7a8875482
File name: xpsrchw.exe
Detection ratio: 4 / 56
Analysis date: 2015-11-27 09:47:10 UTC ( 3 minutes ago )

0 1
Antivirus Result Update
AhnLab-V3 Win-Trojan/FCN.140610 20151126
DrWeb Trojan.Siggen6.53101 20151127
McAfee Artemis!A05F03B3387A 20151127
McAfee-GW-Edition BehavesLike.Win32.BackdoorNJRat.zt 20151127
Aparte de su función ded Backdoor es importante remarcar el añadido de lineas en el HOSTS que impide acceder a las URL indicadas, lo cual el ELISTARA detecta y ofrece restaurar el HOSTS original, eliminando lo modificado.
Como sea que Kaspersky no detecta ninguno de los dos, pasamos a enviarles muestras de los mismos para que añadan su control en las proximas versiones de su antivirus

La version del ELISTARA 33.45 que los detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 27-11-2015