NUEVA VARIANTE DE TROJAN DYNAMER (NOMBRE ADOPTADO POR SER COMO LE LLAMA MICROSOFT)
Recibido por mail anexando fichero con doble extension, .JPG.EXE, lo pasamos a controlar como TROJAN DYNAMER a partir del ELISTARA 35.73 de hoy
Dicho engendro ya lo controla McAfee con heuristica a nivel MUY ALTO con su motor Artemis
El preanalisis de virustotal ofrece el siguiente informe:
MD5 8e5bf2c84480d027c6a525af9a216d2f
SHA1 bb0692da2124726ee8ebabe3483541140fdcd1e2
File size 126.0 KB ( 129024 bytes )
SHA256: 667fe3eee25cf2ee9fc4a0be1b734d0c14aa97de421edde3ddc3824e34f85b9a
File name: 20161128_179430[1].jpg.exe
Detection ratio: 33 / 55
Analysis date: 2016-11-30 10:31:12 UTC ( 4 minutes ago )
0
5
Antivirus Result Update
AVG Atros4.BCPR 20161130
Ad-Aware Trojan.GenericKD.3787635 20161130
AegisLab Heur.Advml.Gen!c 20161130
Arcabit Trojan.Generic.D39CB73 20161130
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9902 20161130
BitDefender Trojan.GenericKD.3787635 20161130
ClamAV Win.Trojan.Agent-1847897 20161130
CrowdStrike Falcon (ML) malicious_confidence_89% (W) 20161024
Cyren W32/Trojan.OXQD-3656 20161130
DrWeb Trojan.Inject2.36456 20161130
ESET-NOD32 Win32/TrojanDownloader.Zurgop.CO 20161130
Emsisoft Trojan.Agent (A) 20161130
F-Secure Trojan.GenericKD.3787635 20161130
Fortinet W32/Injector.GE!tr 20161130
GData Trojan.GenericKD.3787635 20161130
Ikarus Trojan-Spy.Banker 20161130
Invincea virtool.win32.injector.ge 20161128
K7AntiVirus Trojan-Downloader ( 004f85331 ) 20161130
K7GW Trojan-Downloader ( 004f85331 ) 20161130
Kaspersky Trojan.Win32.Inject.achql 20161130
Malwarebytes Trojan.Sharik 20161130
McAfee Artemis!8E5BF2C84480 20161130
McAfee-GW-Edition BehavesLike.Win32.BadFile.ch 20161130
eScan Trojan.GenericKD.3787635 20161130
Microsoft Trojan:Win32/Dynamer!ac 20161130
Panda Trj/RansomCrypt.J 20161129
Qihoo-360 Win32/Trojan.Multi.daf 20161130
Rising Downloader.Zurgop!8.4BB-IdAetoxPlOP (cloud) 20161130
Symantec Trojan Horse 20161130
Tencent Win32.Trojan.Inject.Auto 20161130
TrendMicro TROJ_SHARIK.YUYKC 20161130
TrendMicro-HouseCall TROJ_SHARIK.YUYKC 20161130
ViRobot Trojan.Win32.Agent.129024.Z[h] 20161130
Al monitorizarlo hemos visto que quedaba residente el EXPLORER.EXE y, segun indica Microsoft, normalmente abre una puerta trasera que permite el acceso remoto y subrepticio a los sistemas infectados. Esta puerta trasera puede ser utilizada por atacantes remotos para cargar e instalar software malicioso o potencialmente no deseado en el sistema.
Cabe resaltar que, como indicamos al principio, el fichero malware tiene doble extensión, .JPG.EXE, aparentando ser un JPG si se mira usando Windows 7 u 8, ya que por defecto estos sistemas ocultan las extensiones. En cambio con Windows 10 ya se ve por defecto el .EXE final, lo cual ayuda al usuario al ver que se trata de un ejecutable, no de una imagen JPG.
Dicha versión del ELISTARA 35.73 que lo detecta y elimina, estará disponible en nuestra web a partir del 1-12-2016
saludos
ms, 30.11.2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.