NUEVA VARIANTE DE DOWNLOADER UPATRE QUE SE RECIBE EN UN EXE CON ICONO DE PDF y el malware que descarga

En un fichero ACADINST.EXE con icono de PDF se recibe este downloader que descarga el malware UPATRE:

Su preanalisis en virustotal ofrece este informe:

MD5 832f4c572afd6fab474e3a7a87299707
SHA1 ed72606446a199265cd0e235a649ac6c5d175db6
Tamaño del fichero 29.0 KB ( 29696 bytes )
SHA256: 6bab36b28de36ffd08af154433a8a6204919dd71d72dffc8975d8775328aec99
Nombre: acadinst.exe
Detecciones: 32 / 57
Fecha de análisis: 2015-03-26 08:08:42 UTC ( hace 0 minutos )

0 11
Antivirus Resultado Actualización
AVG Luhe.Fiha.A 20150326
AVware Win32.Malware!Drop 20150326
Ad-Aware Trojan.GenericKD.2248551 20150326
Avast Win32:Malware-gen 20150326
Avira TR/Crypt.Xpack.90248 20150326
Baidu-International Trojan.Win32.Upatre.vpb 20150325
BitDefender Trojan.GenericKD.2248551 20150326
CMC Packed.Win32.Katusha.1!O 20150325
Cyren W32/Trojan.WYTK-4613 20150326
DrWeb Trojan.Upatre.160 20150326
ESET-NOD32 Win32/TrojanDownloader.Waski.F 20150326
Emsisoft Trojan-Downloader.Win32.Upatre (A) 20150326
F-Prot W32/Trojan5.LUV 20150326
F-Secure Trojan.Upatre.Gen.2 20150326
Fortinet W32/Waski.F!tr 20150326
GData Trojan.GenericKD.2248551 20150326
Ikarus Evilware.Outbreak 20150326
K7AntiVirus Trojan-Downloader ( 004b8d561 ) 20150326
K7GW Trojan-Downloader ( 004b8d561 ) 20150326
Kaspersky Trojan-Downloader.Win32.Upatre.vpb 20150326
Malwarebytes Trojan.Email.FakeDoc 20150326
McAfee Upatre-FAAR!832F4C572AFD 20150326
MicroWorld-eScan Trojan.GenericKD.2248551 20150326
Microsoft TrojanDownloader:Win32/Upatre.AZ 20150326
Norman Kryptik.CFBF 20150326
Qihoo-360 HEUR/QVM19.1.Malware.Gen 20150326
Sophos Mal/EncPk-ANE 20150326
Symantec Downloader.Upatre!gen9 20150326
Tencent Trojan.Win32.YY.Gen.3 20150326
TrendMicro TROJ_UPATRE.SMNC 20150326
TrendMicro-HouseCall Suspicious_GEN.F47V0325 20150326
VIPRE Win32.Malware!Drop 20150326

También ha sido subido a virustotal varias veces con el nombre de SecureMessage.scr (con el mismo MD5)

 

Su ejecucion descarga otro fichero, de nombre aleatorio, (yuizwyx81.exe) que es propiamente el malware:

MD5 f13c10768b07c13e5e84a77e0636efa1
SHA1 d9d2b63be63b823bcefac716e99d4a8192ae1bb4
Tamaño del fichero 437.5 KB ( 448000 bytes )
SHA256: 70e385d773a3345c581dd0391e3c55a52231c93759f38e65029e873b2be26846
Nombre: yuizwyx81.exe
Detecciones: 26 / 57
Fecha de análisis: 2015-03-26 08:13:27 UTC ( hace 0 minutos )

0 2
Antivirus Resultado Actualización
AVware Trojan.Win32.Generic!BT 20150326
Ad-Aware Trojan.GenericKD.2248964 20150326
Avast Win32:Malware-gen 20150326
Avira TR/Crypt.Xpack.157534 20150326
Baidu-International Trojan.Win32.Battdil.P 20150325
BitDefender Trojan.GenericKD.2248964 20150326
Bkav HW32.Packed.48FE 20150325
DrWeb Trojan.Dyre.87 20150326
ESET-NOD32 Win32/Battdil.P 20150326
Emsisoft Trojan.Win32.Dyre (A) 20150326
F-Secure Trojan.Dyreza.Gen.2 20150326
Fortinet W32/Kryptik.DDAZ!tr 20150326
GData Trojan.GenericKD.2248964 20150326
Ikarus Trojan-Spy.Agent 20150326
Malwarebytes Trojan.Dyre 20150326
McAfee Upatre-FAAR!F13C10768B07 20150326
MicroWorld-eScan Trojan.GenericKD.2248964 20150326
Microsoft PWS:Win32/Dyzap.M 20150326
Norman Kryptik.CFBF 20150326
Qihoo-360 Win32/Trojan.ceb 20150326
Sophos Mal/EncPk-ANE 20150326
Symantec Downloader.Upatre!gen9 20150326
Tencent Trojan.Win32.YY.Gen.3 20150326
TrendMicro TROJ_UPATRE.SMNC 20150326
TrendMicro-HouseCall Suspicious_GEN.F47V0325 20150326
VIPRE Trojan.Win32.Generic!BT 20150326

Ambos malwares passmos a controlarlos a partir del ELISTARA 31.94, ya disponible en nuestra web

saludos

ms, 26-3-2015

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies