VARIANTE DE DOWNLOADER INTERMEDIARIO PARA DESCARGA DEL DRIDEX
La monitorizacion del DOC con macros C68924_1.doc nos ha ofrecido finalmente un fichero VBS que descarga, decodifica y ejecuta un EXE (dicho DOC es variable y llega con varios nombres)
Todo ello lo pasamos a controlar a partir del ELISTARA 33.54 de hoy
El preanalisis de virustotal sobre el fichero VBS en cuestion, ofrece este informe:
MD5 d8f193a62ce3d094c6d030be0d4b76e5
SHA1 efc4aeac51c56ebe523ad046c8a5c4b24fa8c0c1
File size 7.5 KB ( 7645 bytes )
SHA256: 3b0e95499e505abd9c667d3ae02990ad583cce95e3c48038c0896244bc19958f
File name: 29422 vbs
Detection ratio: 6 / 54
Analysis date: 2015-12-14 11:01:10 UTC ( 29 minutes ago )
0 1
Antivirus Result Update
DrWeb VBS.DownLoader.523 20151214
ESET-NOD32 VBS/TrojanDownloader.Agent.NVE 20151214
Ikarus Trojan-Downloader.VBS.Agent 20151214
Microsoft TrojanDownloader:VBS/Adnel 20151214
Sophos Troj/VBS-IB 20151214
Tencent Vbs.Trojan-downloader.Agent.Wvan 20151214
y como indicabamos al principio, este descarga, decodifica y ejecuta un EXE, que en este caso ofrece el siguiente informe en virustotal:
MD5 79a9b15857e1839dbde1d688f04686e6
SHA1 a5b2450bdfadaec210c7538b76941f549ec335c1
File size 164.0 KB ( 167936 bytes )
SHA256: ec206b0c79c8f66f878f21a3cf01dc09483d4927c1639a0d50f1a469702e068f
File name: 2942210.exe
Detection ratio: 35 / 55
Analysis date: 2015-12-14 10:56:35 UTC
0 1
Antivirus Result Update
AVG Inject3.TPU 20151214
AVware Trojan.Win32.Generic!BT 20151214
Ad-Aware Trojan.Agent.BPBB 20151214
Antiy-AVL Trojan/Win32.Yakes 20151214
Arcabit Trojan.Agent.BPBB 20151214
Avast Win32:Trojan-gen 20151214
Avira TR/AD.Fareit.Y.1515 20151214
Baidu-International Backdoor.Win32.Androm.dfi 20151213
BitDefender Trojan.Agent.BPBB 20151214
ByteHero Virus.Win32.Heur.c 20151214
Cyren W32/Trojan.LOKY-8668 20151213
DrWeb Trojan.Siggen.65341 20151214
ESET-NOD32 a variant of Win32/Injector.COFP 20151214
Emsisoft Trojan.Agent.BPBB (B) 20151214
F-Prot W32/Trojan3.STO 20151214
F-Secure Trojan.Agent.BPBB 20151214
Fortinet W32/Androm.DFI!tr.bdr 20151214
GData Trojan.Agent.BPBB 20151214
Ikarus Trojan.Win32.Injector 20151214
Kaspersky Backdoor.Win32.Androm.dfi 20151214
Malwarebytes Worm.Gamarue 20151214
McAfee Artemis!79A9B15857E1 20151214
McAfee-GW-Edition BehavesLike.Win32.Multiplug.cc 20151214
MicroWorld-eScan Trojan.Agent.BPBB 20151214
Microsoft Backdoor:Win32/Drixed 20151214
NANO-Antivirus Trojan.Win32.Siggen.dzdkjv 20151214
Panda Generic Suspicious 20151213
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20151214
Sophos Mal/Generic-S 20151214
Symantec Backdoor.Trojan 20151213
Tencent Win32.Backdoor.Androm.Ajvt 20151214
TrendMicro TSPY_FAREIT.YYSQH 20151214
TrendMicro-HouseCall TSPY_FAREIT.YYSQH 20151214
VIPRE Trojan.Win32.Generic!BT 20151214
ViRobot Trojan.Win32.U.Agent.164864.B[h] 20151214
Los pasamos a controlar como DRIDEX, desde el VBS, al que añadimos DLDR para identificarlo como downloader
Dicha version del ELISTARA 33.54 que los detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy
saludos
ms, 14-12-2015
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.