MAS INFORMACION SOBRE NUEVA VARIANTE DE VIRUS DE MACRO W97M /ADNEL DESCUBIERTO AYER

Como deciamos ayer, la apertura de las macros del fichero .DOC que se recibe en falso mail del BBVA, que resulta ser una variante del virus de macro W97M/ADNEL, instala en el ordenador un downloader de la familia DRISER, que pasamos a controlar a partir del ELISTARA 31.39 de hoy

Al primer fichero descargado por dicho virus de macro pasamos a controlarlo como TROJAN DRISER DLDR, y el que descarga este es una DLL (queda en temporal) que tambien lo controlamos, esta vez simplemente como TROJAN DRISER

El preanalisis de virustotal del EXE que instala el W97M/ADNEL, y que controlamos como TROJAN DRISER DLDR, ofrece el siguiente informe:

MD5 606d1c928deda2d5e9400e8c77123715
SHA1 90fcb93afb5698754a8e686825ce1663802bc8a0
Tamaño del fichero 67.0 KB ( 68608 bytes )
SHA256: 78c12e2b1653c6f16518765b248ea7ee962e188f1ff69665844db7aec143ea48
Nombre: edg1B6C.exe
Detecciones: 21 / 55
Fecha de análisis: 2015-01-09 10:00:22 UTC ( hace 6 minutos )
0 1

Antivirus Resultado Actualización
AVware Win32.Malware!Drop 20150109
Ad-Aware Trojan.Agent.BHDE 20150109
Avast Win32:Trojan-gen 20150109
Avira TR/DridexDownloader.A.10 20150109
BitDefender Trojan.Agent.BHDE 20150109
Cyren W32/Dridex.IHOC-7771 20150109
DrWeb Trojan.Dridex.20 20150109
Emsisoft Trojan.Agent.BHDE (B) 20150109
F-Prot W32/Dridex.J 20150109
F-Secure Trojan.Agent.BHDE 20150109
GData Trojan.Agent.BHDE 20150109
Kaspersky Trojan.Win32.Agent.idya 20150109
Malwarebytes Spyware.Password 20150109
MicroWorld-eScan Trojan.Agent.BHDE 20150109
Microsoft TrojanDownloader:Win32/Drixed.C 20150109
Norman Dridex.K 20150109
Qihoo-360 Malware.QVM20.Gen 20150109
Sophos Troj/Inject-BIR 20150109
Symantec Trojan Horse 20150109
VIPRE Win32.Malware!Drop 20150109
nProtect Trojan/W32.Agent.68608.ADE 20150109

Este fichero es autoejecutado tras ser descargado por abrir con macros el anexado del mail indicado, y ello crea en un temporal (en uso), un TMP que resulta ser una DLL, lo cual igualmente lo controlamos con ELISTARA 31.39, y cuyo preanalisis de virustotal ofrece el siguiente informe:
MD5 db99570570609a3b723a3bd447ff120c
SHA1 1a6ffe9d67cd78edf52d266aa52e623aadbd7a75
Tamaño del fichero 274.0 KB ( 280576 bytes )

SHA256: b56547ec2ee8185f772f1cdf034573883df442e4e9fde458fcf526a97563d53b
Nombre: 5DA9.tmp
Detecciones: 22 / 56
Fecha de análisis: 2015-01-09 10:36:07 UTC ( hace 4 minutos )
0 3

Antivirus Resultado Actualización
AVware Win32.Malware!Drop 20150109
Ad-Aware Trojan.DridexKD.2069847 20150109
Avira TR/Crypt.ZPACK.119754 20150109
Baidu-International Trojan.Win32.Dridex.BH 20150109
BitDefender Trojan.DridexKD.2069847 20150109
Bkav HW32.Packed.47C0 20150108
ESET-NOD32 Win32/Dridex.H 20150109
Emsisoft Trojan.DridexKD.2069847 (B) 20150109
F-Secure Trojan.DridexKD.2069847 20150109
GData Trojan.DridexKD.2069847 20150109
Ikarus Trojan.Dridex 20150109
K7AntiVirus Trojan ( 004b38f81 ) 20150109
McAfee Artemis!DB9957057060 20150109
McAfee-GW-Edition BehavesLike.Win32.BadFile.dc 20150109
MicroWorld-eScan Trojan.DridexKD.2069847 20150109
Qihoo-360 HEUR/QVM40.1.Malware.Gen 20150109
Sophos Troj/Dridex-L 20150109
Symantec Backdoor.Trojan 20150109
Tencent Win32.Trojan.Generic.Wtxh 20150109
TrendMicro-HouseCall Suspicious_GEN.F47V0108 20150109
VIPRE Win32.Malware!Drop 20150109
nProtect Trojan.DridexKD.2069847 20150109

Al ser este temporal realmente una DLL, aunque tenga extension TMP, es igualmente ejecutable con RUNDLL32 sin importar la extension que tenga.
Dicha version del ELISTARA 31.39 que los detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 9-1-2015