NUEVA VARIANTE DE UN JS CON NEMUCOD QUE DESCARGA E INSTALA UN EXE CON EL RANSOMWARE LOCKY

Publicado el 20 abril 2016 ¬ 11:08 amh.mscComentarios desactivados en NUEVA VARIANTE DE UN JS CON NEMUCOD QUE DESCARGA E INSTALA UN EXE CON EL RANSOMWARE LOCKY

Otra variante del downloader NEMUCOD que descarga un ejecutable con el LOCKY, pasa a ser controlado a partir del ELISTARA 34.38 de hoy

El fichero anexado al email malicioso es el siguiente: INVOICE_47685_virus.zip

Dicho ZIP contiene el siguiente JS: document.js

cuyo preanalisis de virustotal ofrece el siguiente informe:

MD5 0d27fc3aaaf38b01fb82fec486825a00
SHA1 8a7dd323620aeddfee4f56a1736f9c979442b33b
Tamaño del fichero 11.7 KB ( 11938 bytes )
SHA256: aa3dccb268329d9e48f2e1cf545b884ab60b942a01cb5688165e13621a97b04e
Nombre: document.js
Detecciones: 13 / 57
Fecha de análisis: 2016-04-20 08:48:28 UTC ( hace 6 minutos )
0 1
Antivirus Resultado Actualización
AVG JS/Downloader.Agent 20160420
AegisLab Js.Downloader.Agent!c 20160420
Arcabit HEUR.JS.Trojan.b 20160420
Cyren JS/Locky.U!Eldorado 20160420
DrWeb SCRIPT.Virus 20160420
ESET-NOD32 JS/TrojanDownloader.Nemucod.ST 20160420
F-Prot JS/Locky.U!Eldorado 20160420
Ikarus Trojan-Downloader.Script.Agent 20160420
McAfee JS/Nemucod.hq 20160420
McAfee-GW-Edition BehavesLike.JS.Downloader.lv 20160420
Microsoft TrojanDownloader:JS/Swabfex.P 20160420
Sophos JS/DwnLdr-NIC 20160420
Tencent Js.Trojan.Raas.Auto 20160420
Asi mismo dicho NEMUCOD descarga este EXE: 5w5xGKQ9WE.exe

cuyo preanalisis de virustotal ofrece el siguiente informe:

SHA256: ae4a26fdd7cbb9a1a130b24fd52ddfc1c228feb388872e723a89b28aba7fb185
Nombre: 5w5xGKQ9WE.exe
Detecciones: 20 / 57
Fecha de análisis: 2016-04-20 08:58:39 UTC ( hace 1 minuto )
0 1
Antivirus Resultado Actualización
ALYac Trojan.Ransom.LockyCrypt 20160420
AVG Crypt5.AYZW 20160420
AVware Trojan.Win32.Generic!BT 20160420
Ad-Aware Gen:Variant.Razy.41253 20160420
AegisLab Troj.Downloader.W32.Upatre.mCSi 20160420
Arcabit Trojan.Razy.DA125 20160420
Avira (no cloud) TR/Crypt.ZPACK.mtal 20160420
Baidu Win32.Trojan.Kryptik.pd 20160420
BitDefender Gen:Variant.Razy.41253 20160420
ESET-NOD32 a variant of Win32/Kryptik.EUXW 20160420
Emsisoft Gen:Variant.Razy.41253 (B) 20160420
F-Secure Gen:Variant.Razy.41253 20160420
GData Gen:Variant.Razy.41253 20160420
Kaspersky Trojan.Win32.Deshacop.cfk 20160420
Malwarebytes Ransom.Locky 20160420
McAfee Artemis!BED37266281A 20160420
McAfee-GW-Edition BehavesLike.Win32.Trojan.cc 20160420
eScan Gen:Variant.Razy.41253 20160420
Qihoo-360 Win32/Trojan.68c 20160420
Symantec Trojan.Cryptolocker.N 20160420

Ambos ficheros con MEMUCOD y LOCKY son controlados y eliminados por el ELISTARA 34.38 que estará disponibkle en nuestra wbe a partir de las 18 h CEST de hoy

saludos

ms, 20-4-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies