NUEVA VARIANTE DE MALWARE KOVTER QUE SE INSTALA ELIMINANDO EL FICHERO QUE LO GENERA

Publicado el 30 junio 2015 ¬ 11:36 amh.mscComentarios desactivados en NUEVA VARIANTE DE MALWARE KOVTER QUE SE INSTALA ELIMINANDO EL FICHERO QUE LO GENERA

Una nueva variante de malware que desaparece al ser ejecutado, pero que deja un SCRIPT que se lanza desde un O4 , no se puede eliminar facilmente, habiendo tenido que recurrir manualmente a la eliminacion total de la clave.

Aparte instala el “KB968930” que es un paquete para Windows Management Framework Core que incluye Windows PowerShell 2.0 y Windows Remote Management (WinRM) 2.0.

Ello nos apareció al monitorizar el fichero “FedEx_000642040.doc.js” que controlamos con el ELISTARA como DownLoader.JS.Nemucod

A partir del ELISTARA 32.60 se detecta dicho fichero, si bien su eliminación requiere participación manual del usuario, y mucha suerte !

El preanalisis de virustotal ofrece el siguiente informe

SHA256: 7114659c95a4f0206bc28ef029d5c2cdfe2a7365d6a609b2c46e748e537e3796
File name: 93753958.Exe
Detection ratio: 25 / 55
Analysis date: 2015-06-30 08:43:30 UTC ( 16 minutes ago )

0 1

Antivirus Result Update
ALYac Gen:Variant.Mikey.17093 20150630
AVG Pakes.QJO 20150630
AVware Trojan.Win32.Starter 20150630
Ad-Aware Gen:Variant.Mikey.17093 20150630
Agnitum Trojan.DL.Dofoil!YERUqVJQU0I 20150629
AhnLab-V3 Trojan/Win32.Kovter 20150630
Antiy-AVL Trojan[Downloader]/Win32.Dofoil 20150630
Arcabit Trojan.Mikey.D42C5 20150630
Avast Win32:Malware-gen 20150630
Avira TR/Crypt.ZPACK.57161 20150630
BitDefender Gen:Variant.Mikey.17093 20150630
DrWeb Trojan.DownLoader14.5354 20150630
ESET-NOD32 Win32/Kovter.D 20150630
Emsisoft Gen:Variant.Mikey.17093 (B) 20150630
F-Secure Trojan-Spy:W32/Ranbyus.A 20150630
GData Gen:Variant.Mikey.17093 20150630
K7AntiVirus Trojan ( 004c61ee1 ) 20150630
K7GW Trojan ( 004c61ee1 ) 20150630
Kaspersky Trojan-Downloader.Win32.Dofoil.bral 20150630
Malwarebytes Spyware.Password 20150630
MicroWorld-eScan Gen:Variant.Mikey.17093 20150630
Microsoft Trojan:Win32/Kovter!rfn 20150630
NANO-Antivirus Trojan.Win32.Dofoil.dtgjlz 20150630
Panda Trj/Genetic.gen 20150629
VIPRE Trojan.Win32.Starter 20150630

Y el script que genera , para quien pueda interesar, empieza:

WXrYW8HdRWiOXXrzXK9Oel=”8DubZxqzw7gvbzzQNDdbiFTcg0Omn1pnh8kIuV9c5pvS5CEBGTo6ifWVqOnpAwmzRgEyfjOe1g2KYL10NMrrJGHl……

Informamos de ello deseando que no tengan que usar dicha información, por la dificultad de eliminación.

saludos

ms, 30-6-2015

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies