NUEVA VARIANTE DE DOWNLOADER SOUNDER ESCONDIDO EN FICHERO DE 72,6 MB (EMPAQUETADO EN UN ZIP DE 54MB) CUANDO REALMENTE ES SOLO DE 192 KB

Publicado el 23 octubre 2015 ¬ 12:44 pmh.mscComentarios desactivados en NUEVA VARIANTE DE DOWNLOADER SOUNDER ESCONDIDO EN FICHERO DE 72,6 MB (EMPAQUETADO EN UN ZIP DE 54MB) CUANDO REALMENTE ES SOLO DE 192 KB

Cazada por el sistema heuríctico del ELISTARA hemos recibido el fichero MSRRO.EXE.Muestra EliStartPage v33.19 de 72,6 MB que contiene mas de 72 MB de datos sobrantes, ejecutandose con solo los 192 KB iniciales, que pasamos a controlar a partir del ELISTARA 33.20 de hoy

El preanalisis de dicho fichero “reducido” en virustotal (que no admite mas de 20 MB), ofrece el siguiente informe:

MD5 4ed9f6cd4780a473783b2dd84973b1a8
SHA1 34fcd784d36b5b44d13258319afc7535f5f0a0e0
File size 192.0 KB ( 196608 bytes )
SHA256: ffaa57c9e8a58d7682a0fd098570995ec62529e9b5fc0db3ab4bdddafc1149d9
File name: msrro.exe
Detection ratio: 29 / 53
Analysis date: 2015-10-23 08:46:49 UTC

0 1

Antivirus Result Update
ALYac Trojan.Agent.BMLP 20151023
AVG Zbot.AGLG 20151023
Ad-Aware Trojan.Agent.BMLP 20151023
Agnitum Trojan.Kryptik!1vbXo3HYozs 20151021
AhnLab-V3 Malware/Win32.Generic 20151022
Antiy-AVL Trojan/Win32.Wauchos 20151023
Arcabit Trojan.Agent.BMLP 20151023
Avast Win32:Evo-gen [Susp] 20151023
BitDefender Trojan.Agent.BMLP 20151023
ClamAV Win.Worm.Gamarue-160 20151023
DrWeb BackDoor.Andromeda.1065 20151023
ESET-NOD32 a variant of Win32/Kryptik.DULO 20151023
Emsisoft Trojan.Agent.BMLP (B) 20151023
F-Secure Trojan.Agent.BMLP 20151023
Fortinet W32/Kryptik.DULO!tr 20151023
GData Trojan.Agent.BMLP 20151023
Jiangmin Backdoor/Androm.tdi 20151023
K7AntiVirus Trojan ( 004ce5e81 ) 20151023
K7GW Trojan ( 004ce5e81 ) 20151023
Kaspersky HEUR:Trojan.Win32.Generic 20151023
McAfee Trojan-FHCE!4ED9F6CD4780 20151023
McAfee-GW-Edition Trojan-FHCE!4ED9F6CD4780 20151023
MicroWorld-eScan Trojan.Agent.BMLP 20151023
NANO-Antivirus Trojan.Win32.Androm.dvwzcd 20151023
Panda Trj/Gamarue.A 20151022
Symantec Downloader.Dromedan 20151022
VBA32 Trojan.Wauchos 20151022
Zillya Backdoor.Androm.Win32.25492 20151022
nProtect Trojan.Agent.BMLP 20151023

Dicha versión del ELISTARA 33.20 que lo detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy

 

Posiblemente lo “engorden” con datos superfluos variables, para ir generando multiples MD5, con los que marear a los antivirus, necesitando reconocer muchas variantes de un mismo malware, aparte de serles muy fácil pasar desapercibidos al no reconocer muchos de ellos, salvo por procedimientos heurísticos como lo consigue el ELISTARA.

 

saludos

ms, 23-10-2015

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies