EL SEGUNDO CASO ESTA SEMANA QUE UN DOC SIN MACROS GENERA UN BACKDOOR BLACK SHADE

Lo que hasta ahora dabamos como seguros, documentos de Office sin macros, ya vimos esta semana que no siempre es asi, ya que los hay que pueden “dropar” un fichero malware como es el caso de crear este SYSTEM.EXE que pasamos a controlar a partir del ELISTARA 34.67 como variante de Backdoor BlackShade

El preanalisis de virustotal del EXE creado ofrece el siguiente informe:

MD5 8d57b8ca1cc08f8f821392ff870ff299
SHA1 5a382601611ec6c2b104e5f8c9ef5ccc1416bd1d
Tamaño del fichero 666.0 KB ( 681984 bytes )
SHA256: a1bbd0a76edb17904536223e0e926d27f19b44bb5a08d2b9472f1afe3ca377f4
Nombre: system.exe
Detecciones: 17 / 57
Fecha de análisis: 2016-06-01 11:11:28 UTC ( hace 3 minutos )
0 1

Antivirus Resultado Actualización
Ad-Aware Gen:Variant.MSIL.Injector.1 20160601
Arcabit Trojan.MSIL.Injector.1 20160601
Avira (no cloud) TR/Dropper.MSIL.fbqz 20160601
BitDefender Gen:Variant.MSIL.Injector.1 20160601
Cyren W32/MSIL_Injector.EA.gen!Eldorado 20160601
ESET-NOD32 a variant of MSIL/Kryptik.GFZ 20160601
Emsisoft Gen:Variant.MSIL.Injector.1 (B) 20160601
F-Prot W32/MSIL_Injector.EA.gen!Eldorado 20160601
F-Secure Gen:Variant.MSIL.Injector.1 20160601
GData Gen:Variant.MSIL.Injector.1 20160601
Ikarus Trojan.MSIL.Injector 20160601
Kaspersky Trojan.MSIL.Crypt.hut 20160601
McAfee-GW-Edition BehavesLike.Win32.Trojan.jc 20160601
eScan Gen:Variant.MSIL.Injector.1 20160601
Panda Generic Suspicious 20160531
Qihoo-360 HEUR/QVM03.0.0000.Malware.Gen 20160601
Symantec Heur.AdvML.B 20160601

Dicha versión del ELISTARA 34.67 que detecta y elimina dicho EXE, estará disponible en nuestra web a partir de las 18 h CEST de hoy

saludos

ms, 1-6-2016