MAS VARIANTES SOBRE EL ESPIA DE MODA, EL SPYZBOT-W, QUE SE OCULTA PERO PROVOCA DOBLES ACENTOS
xComo estos últimos días, nos llegan muestras de nuevas variantes de SPYZBOT-W, que se delata por provocar, en castellano, dobles acentos en las palabras acentuadas, lo cual pasa desapercibido en habla inglesa, al no usar acentos.
Esta mañana nos han llegado tres variantes de esta familia, que pasamos a controlar y eliminar a partir del ELISTARA 35.63 de hoy.
El MD5 de los tres ficheros EXE en cuestión son los siguientes:
“A22C684625746CA4F0AAFDD41A9F1793” -> api–1-0(12).exe 336384
“0610E7380E282F199D69A9BC7F09D8CD” -> api–1-0(13).exe 337768
“B234BDA3C50E492A9F2D4F0976C500D0” -> api–1-0(14).exe 335080
y el preanalisis de virustotal del último de ellos, ofrece el siguiente informe:
MD5 b234bda3c50e492a9f2d4f0976c500d0
SHA1 7443cb48b5c557459f628f8f0e2f5d722f8e18d3
File size 327.2 KB ( 335080 bytes )
SHA256: a9bfa727120d43568a12a94773bcabd1be5950fa5fad9074049dcb6f7c262f74
File name: api–1-0(14).exe
Detection ratio: 8 / 57
Analysis date: 2016-11-16 11:39:20 UTC ( 1 minute ago )
0
1
Antivirus Result Update
AegisLab Uds.Dangerousobject.Multi!c 20161116
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9999 20161116
CrowdStrike Falcon (ML) malicious_confidence_100% (D) 20161024
Invincea generic.a 20161018
Kaspersky UDS:DangerousObject.Multi.Generic 20161116
Qihoo-360 HEUR/QVM20.1.0000.Malware.Gen 20161116
Rising Malware.Generic!A71pt3KV3wM@2 (thunder) 20161116
Symantec Heur.AdvML.B 20161116
Como puede verse aun son pocos los AV que lo conocen (solo 8 de 57), por lo que enviamos muestra a McAfee que vemos que aun no la conoce, para que añadan su control en las proximas versiones de su AV.
Dicha version del ELISTARA 35.63 que los detecta y elimina, estará disponible nuestra web a partir del 17-11-2016
saludos
ms, 16-11-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.