MONITORIZACION DE MALWARE MBM, CON DOWNLOADER EN MACROS DE DOCUMENTO DE WORD

MONITORIZACION DE MALWARE MBM, CON DOWNLOADER EN MACROS DE DOCUMENTO DE WORD

Seguido a la Noticia de que habia un nuevo malware oculto en las macros de un documento de word con macros, recibido anexado a un mail en un ZIP :
“List of Tentative Order.ZIP”  ->   “List of Tentative Order.DOC”

Recibido anexado a un mail pasamos a informar que la macro existente descarga, copia y ejecuta un CMD, que es un autoextraible que genera un EXE de 128 MB, que está lleno de caracteres inútiles “H” dejando útiles solo unos 72 KB de código

El preanalisis de virustotal del CMD en cuestión, ofrece el siguiente informe:
MD5 be15322b754c54a4dfb5faf8f64d54fc
SHA1 5c4225f69f5ab8b89cb8b86bf4ed7b9b9b3ec2fd
File size 883.3 KB ( 904501 bytes )
SHA256:  6a1868e45ac460beee06e16bb32a956d2ee9140b83c28261eb47c4ecaf3e84e6
File name:  BM.cmd
Detection ratio:  16 / 57
Analysis date:  2016-09-30 08:51:09 UTC ( 41 minutes ago )
0
1

Antivirus  Result  Update
Avira (no cloud)  TR/Dropper.Gen  20160930
Baidu  Win32.Trojan.WisdomEyes.151026.9950.9999  20160930
CrowdStrike Falcon (ML)  malicious_confidence_100% (D)  20160725
Cyren  W32/Dropper.CE.gen!Eldorado  20160930
ESET-NOD32  a variant of MSIL/Injector.QIW  20160930
F-Prot  W32/Dropper.CE.gen!Eldorado  20160926
Invincea  trojan.win32.c2lop.n  20160928
K7AntiVirus  EmailWorm ( 004df05b1 )  20160930
K7GW  EmailWorm ( 004df05b1 )  20160930
Kaspersky  HEUR:Trojan.Win32.Generic  20160930
McAfee-GW-Edition  BehavesLike.Win32.Backdoor.cc  20160929
Qihoo-360  HEUR/QVM41.1.0000.Malware.Gen  20160930
Sophos  Troj/Inject-CBY  20160930
Symantec  Heur.AdvML.B  20160930
TrendMicro  BKDR_TOFSEE.USWZ  20160930
TrendMicro-HouseCall  BKDR_TOFSEE.USWZ  20160930

Y el fichero EXE que genera, de 128 MB, subido al METADEFENDER (dado su tamaño no lo acepta el VirusTotal), ofrece de entrada este informe en los 72 MB que considera útiles:

Lyhrdb.exe
Upload Scan new file
First uploaded 2016-09-30 09:54:42 GMT
Last scanned 2016-09-30 09:54:51 GMT
Filetype Generic CIL Executable (.NET, Mono, etc.)
File size 72 MB
MD5 F92479420E42A05FEA9DEE6F9CE15ADC
SHA1 AB78D380AC0AAA86321EC01B99A92273EF22180A
SHA256 E177BE72368BC6CCE3171B3EED38F90F893D81CE21FC8847C87D57155BD5BF28
Only a few scan engines detected this file as a threat. If you think it might be a false positive, find out how to contact the engine vendor on our blog.
Metascan
PE Info
Applications List
Network Connections
Loaded Components
Known Vulnerabilities
File Names
Scan History

Avira   TR/Dropper.Gen
ESET    a variant of MSIL/Injector.QIW trojan
K7      EmailWorm ( 004df05b1 )

Que como puede verse aun no lo controlan la mayoría de los AV actuales, por lo que lo enviamos tanto a McAfee como a Kaspersky para su analisis y control si procede,  pero que de momento añadimos su detección a partir del ELISTARA 35.33, como malware que parece que es en un 99 %, aunque siempre caba un falso positivo, pero una macro que genere un fichero de 128 MB con mas de 50 MB de “paja”, muy bueno no parece que sea !

Esperamos que nuestros fabricantes de antivirus lo controlen cuanto antes y las actualizaciones diarias de sus productos lo controlen con sus residentes, evitando que el usuario se llegue a infectar con este backdoor, keylogger o algo similar, ya que lo que vemos es que su ejecución lo deja residente en memoria, y con ello, todo es posible …

A partir de la versión 35.33 del ELISTARA de hoy pasaremos a controlar los ficheros creados por dicho malware MBM y pasaremos a eliminarlos.

MUCHO CUIDADO CON TODOS LOS ANEXADOS A MAILS NO SOLICITADOS, INCLUIDOS LOS QUE APARENTEN SER INOFENSIVOS, DOCS, PDF, JPG, etc.

saludos

ms, 30-9-2016