NUEVA VARIANTE DE SPYZBOT – W
A través de un mail anexando un ZIP, se recibe un documento de word con macros maliciosas, que al abrirlo con la proteccion de Macros desactivada, descarga,
desencripta y ejecuta un EXE
Dicho EXE queda residente (en proceso oculto) y se autoborra
Se delata, al igual que otros SPYZBOT, al provocar dobles acentos en las palabras acentuadas
Lo pasamos a controlar a partir del ELISTARA 35.58 de hoy
El preanalisis de virustotal ofrece el siguiente informe:
MD5 d326e38a2af2a8296cb7aa6d10f28a7f
SHA1 5c3714ad0dde312de27f90cfc38a616e23a7b04c
File size 323.5 KB ( 331264 bytes )
SHA256: ca1ebfa6597131c6136d51d11c6965fdcf2d4beafd28c306dd167818aa37f83f
File name: cred16gt(05).exe
Detection ratio: 5 / 54
Analysis date: 2016-11-09 08:59:12 UTC ( 11 minutes ago )
0
1
Antivirus Result Update
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9999 20161107
CrowdStrike Falcon (ML) malicious_confidence_100% (D) 20161024
Invincea worm.win32.ivruat.a 20161018
Qihoo-360 HEUR/QVM20.1.0000.Malware.Gen 20161109
Symantec Heur.AdvML.B 20161109
Dicha versión del ELISTARA 35.58 que lo detecta y elimina, estará disponible en nuestra web a partir del 10-11-2016
NOTA: Como se ve, actualmente solo lo controlan muy pocos AV, por lo que enviamos a McAfee y Kaspersky muestras de los mismos para que los analicen y pasen a controlarlos en las próximas versiones de sus AV.
saludos
ms, 9-11-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.