NUEVA VARIANTE DE MALWARE YPOCATH EN FICHERO HTA
Una nueva variante de malware de JS pasa a ser controlado a partir del ELISTARA 32.96 de hoy
El fichero anexado a un mail indica ser una foto, como en otros muchos casos, pero lo singular es que el fichero tenga extension HTA (HTML compilado)
Como dato curioso es que va añadiendo los nombres de las maquinas y sistema operativo al final del fichero, lo cual hace cambiar el MD5 y hace mayor el numero de variantes que existiran del mismo fichero.
Por ejemplo el ultimo ordenador registrado en el fichero malware recibido como muestra, indica ser “OLYMPUS /Windows 7 Ultimate-” aparte de otros 27 ordenadores por los que ha pasado, empezando por un primero que fue “RAFAEL /Microsoft Windows XP”
Este YPOCATH tiene sus raices en el CRISAS o BONDAT, originales de paises de habla castellana de Sudamerica
El preanalisis de virustotal ofrece el siguiente informe:
MD5 dcb217a2e1c0ce5d074cf4f5d0ff1e96
SHA1 4421dff3dd30900358e7437a723c254dcff148e7
File size 4.8 KB ( 4960 bytes )
SHA256: 3163aac499a13e926bdbcbaaf5a4f02a801b7169feb696f4234d52028a9de2a0
File name: foto buena mia (NO BORRAR NUNCA MUY IMPORTANTE!!!).hta
Detection ratio: 16 / 56
Analysis date: 2015-09-17 07:40:49 UTC ( 2 minutes ago )
0 1
Antivirus Result Update
ALYac JS:Trojan.Script.CFU 20150917
AVG JS/Agent.AX 20150917
Ad-Aware JS:Trojan.Script.CFU 20150917
Arcabit JS:Trojan.Script.CFU 20150917
Avast HTML:HTA-G [Trj] 20150917
BitDefender JS:Trojan.Script.CFU 20150917
ESET-NOD32 HTML/Agent.AR 20150917
Emsisoft JS:Trojan.Script.CFU (B) 20150917
F-Secure JS:Trojan.Script.CFU 20150917
GData JS:Trojan.Script.CFU 20150917
MicroWorld-eScan JS:Trojan.Script.CFU 20150917
Microsoft Worm:HTML/Ypocath.A 20150917
NANO-Antivirus Trojan.Script.Expack.csdcpq 20150917
TrendMicro WORM_HTACOPY.SMJ 20150917
TrendMicro-HouseCall WORM_HTACOPY.SMJ 20150917
nProtect JS:Trojan.Script.CFU 20150916
Vease que Trend lo detecta como HTACOPY que es YPOCATH al reves…
Dicha version del ELISTARA 32.96 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 17-9-2015
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.