NUEVA VARIANTE DE DOWNLOADER JS (NEMUCOD) QUE INSTALA RANSOMWARE LOCKY
A traves de un mail en aleman, se recibe un fichero JS que descarga un SCR que instala un EXE con un ransomware LOCKY
MAIL MASIVO MALICIOSO
_____________________
Asunto: Rechnung Nr. 2016_131
De: <fueldnerF61@lfw-ludwigslust.de>
Fecha: 19/02/2016 10:31
Para: <destinatario>
Sehr geehrte Damen und Herren,
bitte korrigieren Sie auch bei der Rechnung im Anhang den Adressaten:
LFW Ludwigsluster Fleisch- und Wurstspezialitäten
GmbH & Co.KG
Vielen Dank!
Mit freundlichen Grüßen
Anke Füldner
Finanzbuchhaltung
ANEXADO: RG256589942936-SIG.zip (contiene RG1697904405-SIG.js)
__________________
FIN MAIL MASIVO MALICIOSO
Los preanalisis de Virustotal de dichos ficheros, ofrecen los siguientes informes:
MD5 207521a42310ecb33ad9a2981077a303
SHA1 373f43a3337d1f8bdf3c989076f71353b71f691e
Tamaño del fichero 7.3 KB ( 7485 bytes )
SHA256: 5685031b60c06f06b63f359d2dadbdc79b3d964b674351f6619b2aada819b415
Nombre: RG1697904405-SIG.js.TXT
Detecciones: 26 / 56
Fecha de análisis: 2016-02-22 10:23:01 UTC ( hace 7 minutos )
0 2
Antivirus Resultado Actualización
ALYac Trojan.Agent.BQNM 20160222
AVG JS/Downloader.Agent 20160222
AVware Trojan-Downloader.JS.Nemucod.e (v) 20160222
Ad-Aware Trojan.Agent.BQNM 20160222
Arcabit Trojan.Agent.BQNM 20160222
Avast JS:Agent-DTB [Trj] 20160222
Avira JS/Dldr.Agent.MB.34 20160222
BitDefender Trojan.Agent.BQNM 20160222
CAT-QuickHeal JS.Agent.AL 20160222
Cyren JS/Downldr.DH2!Camelot 20160222
ESET-NOD32 JS/TrojanDownloader.Nemucod.FC 20160222
Emsisoft Trojan.Agent.BQNM (B) 20160222
F-Prot JS/Downldr.DH 20160221
F-Secure Trojan.Agent.BQNM 20160222
Fortinet JS/Nemucod.FC!tr 20160222
GData Trojan.Agent.BQNM 20160222
Ikarus Trojan-Downloader.JS.Nemucod 20160222
McAfee JS/Nemucod.ci 20160222
McAfee-GW-Edition JS/Nemucod.ci 20160222
MicroWorld-eScan Trojan.Agent.BQNM 20160222
Sophos Troj/JSDldr-DN 20160222
Symantec JS.Downloader 20160221
TrendMicro JS_LOCKY.A 20160222
TrendMicro-HouseCall JS_LOCKY.A 20160222
VIPRE Trojan-Downloader.JS.Nemucod.e (v) 20160222
nProtect Trojan.Agent.BQNM 20160222
Dicho JS descarga un SCR que instala el LOCKY:
El preanalisis del SCR ofrece el siguiente informe:
MD5 e75e8145c26ffae7bc50cec4e83e064c
SHA1 119dc5554707cb00881ff510878dc94daab25a10
Tamaño del fichero 84.0 KB ( 85991 bytes )
SHA256: 5c72340af7a9439fac2c4bcf0f4bf168799357b0bbcbed17bca8e863d30bbdc4
Nombre: ReNjEUHX scr
Detecciones: 33 / 55
Fecha de análisis: 2016-02-22 09:07:41 UTC ( hace 1 hora, 30 minutos )
0 6
Antivirus Resultado Actualización
ALYac Trojan.GenericKD.3054334 20160222
AVG FileCryptor.HGW 20160222
AVware Trojan.Win32.Generic!BT 20160222
Ad-Aware Trojan.GenericKD.3054334 20160222
AegisLab W32.W.Palevo 20160222
Arcabit Trojan.Generic.D2E9AFE 20160222
Avast Win32:Malware-gen 20160222
Avira TR/AD.Locky.Y 20160222
BitDefender Trojan.GenericKD.3054334 20160222
Bkav HW32.Packed.2568 20160220
Cyren W32/Locky,I.BXIM-9016 20160222
DrWeb Trojan.Encoder.3987 20160222
ESET-NOD32 Win32/Filecoder.Locky.A 20160222
Emsisoft Trojan.GenericKD.3054334 (B) 20160222
F-Prot W32/Locky,I 20160221
F-Secure Trojan.GenericKD.3054334 20160222
Fortinet W32/Agent.A!tr.dldr 20160222
GData Trojan.GenericKD.3054334 20160222
Ikarus Trojan.Krypton 20160222
K7AntiVirus Trojan ( 004de8651 ) 20160222
K7GW Trojan ( 004de8651 ) 20160222
Kaspersky Trojan-Downloader.Win32.Agent.hgnz 20160222
MicroWorld-eScan Trojan.GenericKD.3054334 20160222
Microsoft Ransom:Win32/Locky.A 20160222
Panda Generic Suspicious 20160221
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20160222
Sophos Mal/EncPk-LN 20160222
Symantec Trojan.Cryptolocker.AF 20160221
Tencent Win32.Trojan.Filecoder.Ajvi 20160222
TrendMicro Ransom_LOCKY.AC 20160222
TrendMicro-HouseCall Ransom_LOCKY.AC 20160222
VIPRE Trojan.Win32.Generic!BT 20160222
nProtect Trojan.GenericKD.3054334 20160222
Y este SCR instala un .EXE que es un RANSOMWARE LOCKY, cuyo preanalisis con el VIRUSTOTAL ofrece el siguiente informe:
MD5 abd832d593010b007bed502909aa5a47
SHA1 2170d2e4f55e4643ad35eaf24578b8f58531dd45
Tamaño del fichero 93.0 KB ( 95232 bytes )
SHA256: 7ce2f7f147b442079a978dca43de24105b2c3cde254dc76c7d6be165d8cf8d7e
Nombre: qaoa.exe
Detecciones: 23 / 55
Fecha de análisis: 2016-02-19 11:49:16 UTC ( hace 2 días, 22 horas )
0 1
Antivirus Resultado Actualización
AVware BehavesLike.Win32.Malware.wsc (mx-v) 20160219
Ad-Aware Gen:Trojan.Heur.JP.fqW@aKsuUvb 20160219
Arcabit Trojan.Heur.JP.ED5666 20160219
Avast Win32:Locky-A [Trj] 20160219
BitDefender Gen:Trojan.Heur.JP.fqW@aKsuUvb 20160219
DrWeb Trojan.DownLoader19.28288 20160219
ESET-NOD32 a variant of Win32/Filecoder.Locky.A 20160219
Emsisoft Gen:Trojan.Heur.JP.fqW@aKsuUvb (B) 20160219
F-Secure Gen:Trojan.Heur.JP.fqW@aKsuUvb 20160219
GData Gen:Trojan.Heur.JP.fqW@aKsuUvb 20160219
Ikarus Trojan-Ransom.Locky 20160219
Kaspersky HEUR:Trojan.Win32.Generic 20160219
McAfee Ransomware-Locky!ABD832D59301 20160219
McAfee-GW-Edition BehavesLike.Win32.Generic.nm 20160219
MicroWorld-eScan Gen:Trojan.Heur.JP.fqW@aKsuUvb 20160219
Microsoft Ransom:Win32/Locky.A 20160219
Qihoo-360 QVM10.1.Malware.Gen 20160219
Rising PE:Malware.Generic(Thunder)!1.A1C4 [F] 20160219
Sophos Troj/Ransom-CHA 20160219
Tencent Win32.Trojan.Filecoder.Lqou 20160219
TrendMicro PAK_Generic.001 20160219
TrendMicro-HouseCall PAK_Generic.001 20160219
VIPRE BehavesLike.Win32.Malware.wsc (mx-v) 20160219
Todas estas variantes pasan a ser controladas a partir del ELISTARA 33.99, que estará disponible en nuestra web a partir de las 18 h CEST de hoy
saludos
ms, 22-2-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.