NUEVA VARIANTE DE WORM LAMIN cazada por la heuristica del ELISTARA

Recibimos tres ficheros, pedidos por el ELISTARA, iguales pero con diferentes nombres, a saber:

ADOBE GAMMA LOADER.COM.Muestra EliStartPage v32.49

SERVICES.EXE.Muestra EliStartPage v32.49

WINWORD.EXE.Muestra EliStartPage v32.49

Los cuales pasamos a controlar especificamente a partir del ELISTARA 32.509 de hoy.

Caracteristicas sobresalientes de este malware son:

– Queda residente (con dos procesos activos)
– Oculta ficheros del sistema.
– Oculta la Extensión de los EXEs
– Desactiva las Notificaciones de Centro de Seguridad de Windows.
– No deja Arrancar en “Modo Seguro”
– Deshabilita los Servicios:
“Firewall de Windows”
“Actualizaciones automáticas”
“Centro de seguridad”
y “WinDefend”
– Los DOCs los oculta con atributos +s, +h , y se autocopia con el nombre de ellos. (el icono del malware es el de WinWord)
El preanalisis de virustotal ofrece el siguiente informe:

MD5 6f00dae71f9adb7847af3821c2d774d0
SHA1 6f78b82c23a0b61bb88434e448baaf6b09b26b52
File size 752.3 KB ( 770368 bytes )
SHA256: 78c16c96cf9061af783909323b12086ae6b3ea86b4d117dcb6773c94fb004ce6
File name: SERVICES.EXE.Muestra EliStartPage v32.49
Detection ratio: 49 / 56
Analysis date: 2015-06-15 09:51:30 UTC ( 3 minutes ago )

0 1
Antivirus Result Update
ALYac MemScan:Trojan.VB.Agent.CT 20150615
AVG Dropper.Agent.ORO 20150615
AVware Trojan.Win32.Generic.pak!cobra 20150615
Ad-Aware MemScan:Trojan.VB.Agent.CT 20150615
Agnitum Trojan.Obfuscated.AHVV 20150614
AhnLab-V3 Win-Trojan/Xema.variant 20150615
Antiy-AVL Trojan[Dropper]/Win32.Agent 20150615
Arcabit Trojan.VB.Agent.CT 20150615
Avast Win32:Agent-AMTW [Drp] 20150615
Avira TR/Dropper.Gen 20150615
Baidu-International Trojan.Win32.Obfuscated.aiiz 20150615
BitDefender MemScan:Trojan.VB.Agent.CT 20150615
ByteHero Virus.Win32.Heur.p 20150615
ClamAV Trojan.Dropper-20370 20150615
Comodo TrojWare.Win32.Trojan.Obfuscated.whl1 20150615
Cyren W32/Risk.BIDN-6844 20150615
DrWeb Trojan.MulDrop3.31826 20150615
ESET-NOD32 Win32/AutoRun.IRCBot.DO 20150615
Emsisoft MemScan:Trojan.VB.Agent.CT (B) 20150615
F-Prot W32/Dropper.AUQQ 20150615
F-Secure MemScan:Trojan.VB.Agent.CT 20150615
GData MemScan:Trojan.VB.Agent.CT 20150615
Ikarus Trojan.Crypt 20150615
Jiangmin TrojanDropper.Agent.amnw 20150614
K7AntiVirus Trojan ( 000c81831 ) 20150615
K7GW Trojan ( 000c81831 ) 20150615
Kaspersky Trojan.Win32.Obfuscated.aiiz 20150615
Malwarebytes Trojan.Obfuscated 20150615
McAfee Generic Dropper.aft 20150615
McAfee-GW-Edition BehavesLike.Win32.SuspiciousPacked.bz 20150614
MicroWorld-eScan MemScan:Trojan.VB.Agent.CT 20150615
Microsoft Worm:Win32/Lamin.A 20150615
NANO-Antivirus Trojan.Win32.Agent.cssixz 20150614
Panda Trj/Dropper.AJT 20150614
Qihoo-360 Malware.Radar01.Gen 20150615
Rising PE:Trojan.Win32.Generic.11F42387!301212551 20150614
SUPERAntiSpyware Trojan.Agent/Gen-FakeAV[Services] 20150615
Sophos Troj/Agent-PPI 20150615
Symantec Trojan Horse 20150615
Tencent Trojan.Win32.YY.Gen.17 20150615
TheHacker Trojan/Dropper.Agent.avam 20150614
TotalDefense Win32/Malinbot.A 20150614
TrendMicro WORM_IRCBOT.BXN 20150615
TrendMicro-HouseCall WORM_IRCBOT.BXN 20150615
VBA32 SScope.Trojan.VBRA.1702 20150613
VIPRE Trojan.Win32.Generic.pak!cobra 20150615
ViRobot Trojan.Win32.Obfuscated.770368[h] 20150615
Zillya Dropper.Agent.Win32.117239 20150615
nProtect Trojan-Dropper/W32.Agent.770368.F 20150612

Dicha version del ELISTARA 32.50 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 15-6-2015