FICHERO RECIBIDO CON MALWARE JS.CRISAS (ALIAS BONDAT), YA CONTROLADO POR ELISTARA

Hemos recibido nuevo fichero  goivivjnk.js  que controlamos ya desde el ELISTARA 33.29

El preanalisis de virustotal ofrece el siguiente informe:

MD5 50980cb3edb2e77bc17982128f0b3fe7
SHA1 d73e49ece2df474880cae858264d84286a69a6bf
SHA256:  b9e36bcfa07b9c7f76e2eec59f0181e9693442b1b6f25ffdedf19cd7b8b5d6e9
File name:  goivivjnk.js
Detection ratio:  24 / 55
Analysis date:  2016-11-17 09:22:54 UTC ( 2 minutes ago )
0
2

Antivirus  Result  Update
ALYac  Trojan.JS.RBS  20161117
AVware  Worm.JS.Bondat.d (v)  20161117
Ad-Aware  Trojan.JS.RBS  20161117
AegisLab  Troj.Js.Rbs!c  20161117
Arcabit  Trojan.JS.RBS  20161117
Avast  JS:Agent-DSL [Trj]  20161117
Avira (no cloud)  HTML/ExpKit.Gen6  20161117
BitDefender  Trojan.JS.RBS  20161117
CAT-QuickHeal  JS.Bondat.A  20161117
ESET-NOD32  JS/Bondat.K  20161117
Emsisoft  Trojan.JS.RBS (B)  20161117
F-Secure  Trojan.JS.RBS  20161117
Fortinet  JS/Bondat.V!worm  20161117
GData  Trojan.JS.RBS  20161117
Ikarus  Worm.JS.Bondat  20161116
Kaspersky  Worm.JS.Bondat.et  20161117
McAfee  JS/Bondat.i  20161117
McAfee-GW-Edition  JS/Bondat.i  20161116
eScan  Trojan.JS.RBS  20161117
Microsoft  Worm:JS/Bondat.D  20161117
Rising  Trojan.ObfusJS/Heur!1.A4CA (classic)  20161117
Symantec  JS.Downloader  20161117
Tencent  Js.Worm.Bondat.Suea  20161117
VIPRE  Worm.JS.Bondat.d (v)  20161117

y en el apartado de COMENTARIOS de del virustotal, vemos:

variante de JSCRISAS (alias Bondat)
controlado a partir de ELISTARA 33.29
www.satinfo.es

Solo cabe recordar que este malware se propaga por pendrive, pero no crea AUTORUN.INF, por lo cual no cabe utilizar el ELIPEN, sino por un BAT que crea en el registro estos O4:

O4 – Startup: Windows Explorer.lnk = C:\Users\LUIS\AppData\Roaming\woalf\dskmon64.exe “C:\Users\LUIS\AppData\Roaming\woalf\goivivjnk.js”

O4 – Global Startup: Windows Explorer.lnk = C:\Users\LUIS\AppData\Roaming\woalf\cmdprocess.exe “C:\Users\LUISI\AppData\Roaming\woalf\goivivjnk.js”

y utiliza para lanzarlo ficheros EXE que son copias del  WSCRIPT.EXE S.O. con nombres aleatorios, como:

amdupdate.exe
amdmgr32.exe
cmdprocess.exe
dllupdater.exe
dskmon64.exe
hpmgr.exe
hpmon64.exe
hpproc.exe
hpsys.exe
intelhost.exe
mshost64.exe
msupdater32.exe
tcpmgr.exe
tcpproc.exe
tcpprocess64.exe
udpsys.exe
udpmonitor64.exe
winmonitor.exe
etc…

que logicamente no son malwares, y solo cabe eliminarlos para evitar duplicidades.

El ELISTARA detecta y elimina los .js que lanza desde las claves de Inicio indicadas, con lo que se elimina el malware, por cadenas, de diferente nombre en cada infección, por lo que no cabe eliminarlo de otra manera.

Afortunadamente ya los controla tanto McAfee como Kaspersky, además de nuestro ELISTARA, por lo que el usuario (cuyo ISP es de una Universidad de Mexico) no debe usar nuestros AV, sino alguno de los que no lo detectan, como vemos por virusTotal que hay, entre otros, los siguientes conocidos:

F-Prot, Malwarebytes, Panda, SUPERAntiSpyware, Sophos, TrendMicro, etc

Dicho malware lo hemos recibido normalmente de Sudamertica, empezando por Colombia, y alcanzando solo paises colindantes, debido a su limitado sistema de propagación via pendrive.

Actualmente la versión del ELISTARA que estamos haciendo hoy es la 35.64,mientras que esta variante ya la controlamos desde la 33.29, del 5 de Noviembre del año pasado, o sea de hace mas de 1 año !

Aparte de lo indicado, cabe decir que :

– Queda residente.
– (oculta carpetas y ficheros, y genera links con sus nombres)
– El nombre de la carpeta y de los ficheros, varia en cada infección

Sirva lo comentado para conocimiento de los usuarios que lo puedan estar sufriendo, saber a qué atenerse

saludos

ms, 17-11-2016