NUEVA VARIANTE DE MALWARE LISEC DESCARGADOS POR UN DOWNLOADER SOUNDER Y CAZADOS POR LA HEURISTICA DEL ELISTARA

La ejecución de un downloader SOUNDER nos ha instalado 41 ficheros que pasamos a controlar como MALWARE LISEC

El MD5 de dichos ficheros ofrece los siguientes datos:

MD5                                 NOMBRE                                      TAMAÑO

“B788EEF76A3E0BB1D43284CDC96F36FA” -> LISECEWWEVW.EXE.Muestra EliStartPage v35.47  164352
“5EB842FC3F7D54FBC4D99C113F7A5AF2” -> LISECEWWEVW.EXE.Muestra EliStartPage v35.55  98304
“DF7F170C5CA331860CCF2B6EEAA16C0D” -> LISECOSYS.EXE.Muestra EliStartPage v35.47  164864
“CF387F2219B19014196CB202FEB89547” -> LISECOSYS.EXE.Muestra EliStartPage v35.55  94208
“0A7F68365FBD9F7A9D3A82C03BCA4240” -> LISECOSYS32.EXE.Muestra EliStartPage v35.47  165888
“09FBC953E7A294A8027977D75A0E8982” -> LISECOSYS32.EXE.Muestra EliStartPage v35.55  94208
“3850D0542BDD5F496331B133DD491A41” -> LJA7SHAYNE10.EXE.Muestra EliStartPage v35.47  165376
“D7BD5C5B1AE3E2F75E87BC9C0E2EBCC9” -> LJA7SHAYNE10.EXE.Muestra EliStartPage v35.55  90112
“0401981B49CF64441680F3FDCD84F44E” -> LJA7SHAYNE2.EXE.Muestra EliStartPage v35.47  162816
“60CBA66FFCE90133D4EB43EB732DF577” -> LJA7SHAYNE2.EXE.Muestra EliStartPage v35.55  90112
“F5E8BC4DDDB4CD9EEBC5225CD7EAA16B” -> LJA7SHAYNE3.EXE.Muestra EliStartPage v35.47  165888
“49F3B55DCD23F1FA5166F8A3226595BC” -> LJA7SHAYNE3.EXE.Muestra EliStartPage v35.55  90112
“F28B53D40AE021AC6A7E86A423D3ECC5” -> LJA7SHAYNE4.EXE.Muestra EliStartPage v35.47  163840
“D01E8185B2C426B5F22B08281CA4FFF9” -> LJA7SHAYNE4.EXE.Muestra EliStartPage v35.55  90112
“53B3E9DF8DC86ABC2E092378F4D1165E” -> LJA7SHAYNE6.EXE.Muestra EliStartPage v35.47  166400
“2764C817481D6A040DB753A656FD97B0” -> LJA7SHAYNE6.EXE.Muestra EliStartPage v35.55  94208
“AA662CC5F17725F4F689A244B7F7740A” -> LJA7SHAYNE7.EXE.Muestra EliStartPage v35.47  163840
“DD43DC7C25EF031CE67E0E2E8322E6EC” -> LJA7SHAYNE7.EXE.Muestra EliStartPage v35.55  90112
“097659C9696797439D491EB0EB7B887F” -> LJA7SHAYNE8.EXE.Muestra EliStartPage v35.47  163840
“8A0FBDD589060826018D0E187A07A403” -> LJA7SHAYNE8.EXE.Muestra EliStartPage v35.55  90112
“F4064852EFC7774DD0A3D2E033D4C339” -> LLISECONC1.EXE.Muestra EliStartPage v35.47  164352
“A1FDF28B80EED7548DCE058B210D1F3F” -> LLISECONC1.EXE.Muestra EliStartPage v35.55  98304
“D0C754F55809F675A4908D2B104B9D32” -> LLISECONC2.EXE.Muestra EliStartPage v35.47  163840
“DF52D283A4D7B55174F5DFDCE4C1006B” -> LLISECONC2.EXE.Muestra EliStartPage v35.55  98304
“AA066AC76F8A2FF1CE5DB6AC44051962” -> LLISECONC4.EXE.Muestra EliStartPage v35.47  164864
“B86B56A8392C89092685CA52EE5AB843” -> LLISECONC4.EXE.Muestra EliStartPage v35.55  94208
“20CB37370C982E7AE7A999EDB287483B” -> LLISECONC5.EXE.Muestra EliStartPage v35.47  164864
“67611DEE29928510FCE304BBA3E1297E” -> LLISECONC5.EXE.Muestra EliStartPage v35.55  94208
“5A12BD96A263B0AFDA96E80E59E06BBC” -> LLISECONC8.EXE.Muestra EliStartPage v35.55  94208
“84E3069CD13B4FC46441452C68DCBE66” -> LLISECONC8A.EXE.Muestra EliStartPage v35.55  90112
“4A74DD3DFB1390FBEBD63ABB40CF8788” -> SCVHCHOST232.EXE.Muestra EliStartPage v35.55  220672
“2D27D0DB19F4A1F836A342AFE5810C5F” -> SCVHCHOST332.EXE.Muestra EliStartPage v35.55  156160
“F9C87EC6E762C89F170A822BD1F4489E” -> SCVHCHOST532.EXE.Muestra EliStartPage v35.55  156160
“FEEB407B65325A081E2A22ECA3A82668” -> SCVHCHOST732.EXE.Muestra EliStartPage v35.55  221696
“B43FAAF1125D17CCB04D1B36DDFA4060” -> SCVHCHOST932.EXE.Muestra EliStartPage v35.55  222208
“8FFBA49F5F5A15F086218AC191BEAC57” -> SCVHCHOSTC6600A.EXE.Muestra EliStartPage v35.55  221696
“29D0D3A7344BB01309594A86D18FF9C4” -> SCVHCHV00AD.EXE.Muestra EliStartPage v35.55  220672
“2BB1BC52EAA46FE9CED9094BEC8A8ACB” -> SYSAEWAZBYS32.EXE.Muestra EliStartPage v35.47  166400
“25A5068781C71B217D1D7D35F4B13CB9” -> SYSAEWAZBYS32.EXE.Muestra EliStartPage v35.55  98304
“832E75C07093EFA46932CCA303B01F51” -> SYSTEEZ.EXE.Muestra EliStartPage v35.55  199680
“0CD1E9E20EE8E9F729EDB5920DCBEDE9” -> SYSTEMWINDOWS32.EXE.Muestra EliStartPage v35.55  223232

El preanalisis de virustotal ofrece el siguiente informe:
MD5 09fbc953e7a294a8027977d75a0e8982
SHA1 902f45d630df2e0b948bfd1ca86688b1ad61093e
File size 92.0 KB ( 94208 bytes )
SHA256:  24853e90d7cac96a2e6449b3d56e68489c6790f1fcecbf49df36d1f5e03ed7fe
File name:  4ad4b7e9b6d321886e3233411bbd8657181d6bf4
Detection ratio:  31 / 56
Analysis date:  2016-11-13 17:05:08 UTC ( 18 hours, 38 minutes ago )
0
1

Antivirus  Result  Update
Avast  Win32:Malware-gen  20161113
Baidu  Win32.Trojan.WisdomEyes.16070401.9500.9982  20161111
Microsoft  Trojan:Win32/Lethic.B  20161113
AhnLab-V3  Trojan/Win32.Garrun.N2153423069  20161113
Antiy-AVL  Trojan/Win32.Garrun  20161113
nProtect  Trojan/W32.Garrun.94208.C  20161113
Invincea  trojan.win32.lethic.b  20161018
AVware  Trojan.Win32.Generic!BT  20161113
VIPRE  Trojan.Win32.Generic!BT  20161113
Kaspersky  Trojan.Win32.Garrun.ejl  20161113
NANO-Antivirus  Trojan.Win32.Garrun.eihtvk  20161113
Arcabit  Trojan.Generic.D12C32C5  20161113
Emsisoft  Trojan.Generic.19673797 (B)  20161113
Ad-Aware  Trojan.Generic.19673797  20161113
BitDefender  Trojan.Generic.19673797  20161113
F-Secure  Trojan.Generic.19673797  20161113
GData  Trojan.Generic.19673797  20161113
eScan  Trojan.Generic.19673797  20161113
Malwarebytes  Trojan.DorkBot  20161113
Symantec  Trojan Horse  20161113
K7GW  Trojan ( 004fd1dc1 )  20161113
AegisLab  Troj.W32.Garrun!c  20161113
Avira (no cloud)  TR/Crypt.ZPACK.ktnpf  20161113
Rising  Malware.Generic!sf7b7maV7YO@5 (thunder)  20161113
CrowdStrike Falcon (ML)  malicious_confidence_100% (D)  20161024
Sophos  Mal/Generic-S  20161113
Qihoo-360  HEUR/QVM09.0.1C80.Malware.Gen  20161113
AVG  Generic_r.PHC  20161113
McAfee-GW-Edition  Artemis!Trojan  20161113
McAfee  Artemis!09FBC953E7A2  20161113
ESET-NOD32  a variant of Win32/Kryptik.FJQC  20161113

Dicha versión del ELISTARA 35.61 que los detecta y elimina, estará disponible en nuestra web a partir del 15-11-2016
saludos

ms, 14-11-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies