NUEVA HISTORIA RELACIONADA CON EL SOUNDER, LISEC Y KASIDET…
La monitorización de algunas variantes del conocido downloader Sounder, ayer y hoy nos descarga y ejecuta como 10 ficheros del malware LISEC, que guarda en C:\RECYCLER, que como dijimos ayer, no es la papelera al no incorporar el DESKTOP.INI correspondiente…
NUEVO MALWARE LISEC DESCARGADO POR EL SOUNDER QUE SE DESCARGA EN C:RECYCLER (QUE NO ES LA PAPELERA)
Y como que en Windows >7 no existe dicha carpeta, la crea.
Pero ademas nos aperece otro malware que pasamos a controlar tambien como malware KASIDET, que reinicia el ciclo de descargar otro Sounder que hace otra vez el proceso indicado…
Este ultimo KASIDET se oculta en ficheros con nombres del sistema operativo, como el de REGEDIT.EXE, cuyo preanalisis de viristotal ofrece este informe:
MD5 42715a5def946a7abd8427b03bdc4a4a
SHA1 8fe13ff48cba3e74a4887181125c2cc4ba610ac2
File size 234.5 KB ( 240128 bytes )
SHA256: a876b7b9a9b5b9801ef026b6e53dcd1f707bd0450a9dbe0609f4f3c1f1fc348a
File name: regedit.exe
Detection ratio: 9 / 57
Analysis date: 2016-09-21 10:31:52 UTC ( 50 minutes ago )
0
1
Antivirus Result Update
Baidu Win32.Trojan.Kryptik.akc 20160921
CrowdStrike Falcon (ML) malicious_confidence_100% (D) 20160725
Cyren W32/S-e2e07e9d!Eldorado 20160921
F-Prot W32/S-e2e07e9d!Eldorado 20160921
Invincea trojan.win32.lethic.b 20160917
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.dh 20160920
Qihoo-360 HEUR/QVM09.0.0000.Malware.Gen 20160921
Rising Malware.Heuristic!ET (rdm+) 20160921
Symantec Heur.AdvML.B 20160921
Como se ve, es aun muy novedoso y apenas lo controlan los actuales AV
El ELISTARA 35.26 que los detecta y elimina, estará disponible en nuestra web a partir del 22.9-2016
saludos
ms, 21-9-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.