EL SEGUNDO CASO ESTA SEMANA QUE UN DOC SIN MACROS GENERA UN BACKDOOR BLACK SHADE
Lo que hasta ahora dabamos como seguros, documentos de Office sin macros, ya vimos esta semana que no siempre es asi, ya que los hay que pueden “dropar” un fichero malware como es el caso de crear este SYSTEM.EXE que pasamos a controlar a partir del ELISTARA 34.67 como variante de Backdoor BlackShade
El preanalisis de virustotal del EXE creado ofrece el siguiente informe:
MD5 8d57b8ca1cc08f8f821392ff870ff299
SHA1 5a382601611ec6c2b104e5f8c9ef5ccc1416bd1d
Tamaño del fichero 666.0 KB ( 681984 bytes )
SHA256: a1bbd0a76edb17904536223e0e926d27f19b44bb5a08d2b9472f1afe3ca377f4
Nombre: system.exe
Detecciones: 17 / 57
Fecha de análisis: 2016-06-01 11:11:28 UTC ( hace 3 minutos )
0 1
Antivirus Resultado Actualización
Ad-Aware Gen:Variant.MSIL.Injector.1 20160601
Arcabit Trojan.MSIL.Injector.1 20160601
Avira (no cloud) TR/Dropper.MSIL.fbqz 20160601
BitDefender Gen:Variant.MSIL.Injector.1 20160601
Cyren W32/MSIL_Injector.EA.gen!Eldorado 20160601
ESET-NOD32 a variant of MSIL/Kryptik.GFZ 20160601
Emsisoft Gen:Variant.MSIL.Injector.1 (B) 20160601
F-Prot W32/MSIL_Injector.EA.gen!Eldorado 20160601
F-Secure Gen:Variant.MSIL.Injector.1 20160601
GData Gen:Variant.MSIL.Injector.1 20160601
Ikarus Trojan.MSIL.Injector 20160601
Kaspersky Trojan.MSIL.Crypt.hut 20160601
McAfee-GW-Edition BehavesLike.Win32.Trojan.jc 20160601
eScan Gen:Variant.MSIL.Injector.1 20160601
Panda Generic Suspicious 20160531
Qihoo-360 HEUR/QVM03.0.0000.Malware.Gen 20160601
Symantec Heur.AdvML.B 20160601
Dicha versión del ELISTARA 34.67 que detecta y elimina dicho EXE, estará disponible en nuestra web a partir de las 18 h CEST de hoy
saludos
ms, 1-6-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.