NUEVA VARIANTE DE BACKDOOR KIRTS QUE AL ACTUALIZARSE REALIZA DESCARGAS DE OTROS MALWARES

La actualización de este backdoor, cuando está residente, crea otros malwares aparte de actualizarse a si mismo.

Infecta pendrives, y queda residente con 4 procesos activos: “windrv.exe”, “winsvc.exe” y 2 “winmgr.exe”

Al actualizarse, a veces descarga otros malwares como Malware.GalloE, Ransom.Cerber Cerber3 o Cerber4, Boaxxe.BE, Cutwail.BD y BG, etc.

Lo pasamos a controlar a partir de ELISTARA 35.90

El preanalisis de virustotal ofrece el siguiente informe:
MD5 25dae7e0ce4b0f22667e425ed5a8849f
SHA1 2e8b25e2159b654d8ba27a63d724948008b5424b
File size 181.9 KB ( 186304 bytes )
SHA256: 8e8069e40cc22ff734e963e01c0eb9018016c4dd37ae5783c9dc72d03a80735b
File name: winmgr(145).exe
Detection ratio: 18 / 56
Analysis date: 2016-12-29 15:44:32 UTC ( 6 minutes ago )
0
2

Antivirus Result Update
Ad-Aware Trojan.GenericKD.4080818 20161229
AhnLab-V3 Trojan/Win32.Inject.C1729081 20161229
Avast Win32:Malware-gen 20161229
Avira (no cloud) TR/Dropper.MSIL.hqvwk 20161229
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9917 20161207
BitDefender Trojan.GenericKD.4080818 20161229
CrowdStrike Falcon (ML) malicious_confidence_77% (D) 20161024
DrWeb Trojan.MulDrop7.11089 20161229
ESET-NOD32 a variant of MSIL/Injector.QZV 20161229
Emsisoft Trojan.Injector (A) 20161229
GData Trojan.GenericKD.4080818 20161229
Invincea backdoor.win32.kirts.a 20161216
K7GW Hacktool ( 655367771 ) 20161229
Kaspersky Trojan.Win32.IRCbot.apnx 20161229
eScan Trojan.GenericKD.4080818 20161229
Qihoo-360 HEUR/QVM03.0.23DD.Malware.Gen 20161229
Symantec Heur.AdvML.C 20161229
ViRobot Trojan.Win32.S.Agent.186304[h] 20161229

Dicha versión del ELISTARA 35.90 que los detecta y elimina, estará disponible en nuestra web a partir del 30-12-2016
saludos

ms, 29-12-2016