MENSAJE KIKOOLOL QUE APARECE AL EJECUTAR ANEXADOS A MAILS MALICIOSOS YA CAPADOS
Tras los cientos de miles de ransomwares y demas malwares que llegan anexados a e-mails no solicitados, muchos de ellos ya son eliminados del servidor utilizado para la descarga, por lo que al ejecutarlos aparecen diferentes mensajes, lo mas normal es:
“ERROR 404 FILE NOT FOUND” (o similar) indica que ya no existe el fichero buscado
pero recientemente el ransomware LOCKY, una vez sacado del servidor, hay casos en los que aparece un texto indicando:
“STUPID LOCKY” que atribuimos a la creación de un fichero con dicho texto en lugar del que había del ransomware indicado.
y ahora hoy hemos visto la última de las modificaciones por la que han sustituido el malware que hubiera por un fichero EXE, que el downloader usado para la descarga (actualmente alguna variante del NEMUCOD) lo descarga y ejecuta. mostrando en pantalla la siguiente imagen:
Como sea que el fichero en cuestión queda tras ello en el ordenador, si bien no es malicioso sino al revés, informativo de que ello aparece por haber ejecutado un fichero malicioso anexado a un mail, que puede haber sido por haber abierto las macros de un fichero de Office, o simplemente un .EXE o un .JS contenido en un ZIP, lo pasamos a controlar a partir del ELISTARA 34.59 de hoy como MENSAJE.KIKOOLOL, por ser este el nombre que usa como fabricante dentro del fichero en cuestión.
Repetimos que ya no se trata del virus, y que solo lo detectamos y eliminamos para eliminar ficheros superfluos del ordenador.
En las características de dicho fichero aparecen los siguientes datos:
InternalNameAlert.exe
FileDescriptionWarning message for users.
OSVersion4.0
FileOSWindows NT 32-bit
SubsystemWindows GUI
MachineTypeIntel 386 or later, and compatibles
CompanyNameKikoolol
Y en el preanalisis de virustotal, se obtiene el siguiente informe:
MD5 a24b28c47a307fa9754d2f64c81d7133
SHA1 826267180274c7274fd86b1ff0894eb9a3ea8deb
Tamaño del fichero 769.5 KB ( 787968 bytes )
SHA256: ed1a6b7bd9c0db01bc49109f62ccde31500e1593b501261e44ab7a97beff7f6e
Nombre: zvsg2.exe
Detecciones: 20 / 57
Fecha de análisis: 2016-05-20 07:55:43 UTC ( hace 6 minutos )
1 5
Antivirus Resultado Actualización
AVware Trojan.Win32.Generic.pak!cobra 20160520
Ad-Aware Trojan.GenericKD.3242066 20160520
AegisLab Uds.Dangerousobject.Multi!c 20160519
Arcabit Trojan.Generic.D317852 20160520
Avira (no cloud) TR/Locky.aipetb.122 20160520
BitDefender Trojan.GenericKD.3242066 20160520
DrWeb Trojan.Siggen6.60598 20160520
Emsisoft Trojan.GenericKD.3242066 (B) 20160520
F-Secure Trojan.GenericKD.3242066 20160520
GData Trojan.GenericKD.3242066 20160520
McAfee RDN/Ransom 20160520
McAfee-GW-Edition Artemis!Trojan 20160520
eScan Trojan.GenericKD.3242066 20160520
Rising Malware.Undefined!8.C-q1ZdA3b8BwQ (Cloud) 20160520
Symantec Trojan.Gen.2 20160520
TrendMicro Ransom_LOCKY.EB 20160520
TrendMicro-HouseCall Ransom_LOCKY.EB 20160520
VIPRE Trojan.Win32.Generic.pak!cobra 20160520
ViRobot Trojan.Win32.R.Agent.787968[h] 20160520
nProtect Trojan.GenericKD.3242066 20160519
Y mientras editamos esta noticia, nos ha llegado otro similar que ya es controlado por el mismo ELISTARA 34.59 de hoy
Dicha versión del ELISTARA 34.59 que los detecta y elimina, estará disponible en nuestra wbe a partir de las 16 h CEST de hoy
saludos
ms, 20-5-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.