NUEVAS VARIANTES DE BACKDOOR KIRTS QUE PASAMOS A CONTROLAR CON ELISTARA
Adjuntamos relación de hashes SHA1 de los ficheros resultantes de análisis/monitorización de muestras de backdoor KIRTS:
“8AC21AF6757D6E7226BB94ADC46C42F826492F55” -> windrv(04).exe 288264
“3AD8FC2050E9C8AF2AF1F2531D330C1698DEB13F” -> windrv(05).exe 275976
“60023D91D149031EADDB210E75749A695D19B2F6” -> windrv(06).exe 280072
“BF290251A9FD065AFD8870810B0F52647C2957BB” -> windrv(07).exe 218632
“0362E7D77E7086FEDA7F550EB7BA79557FFB1344” -> windrv(08).exe 255528
“AA707E45FA3473336CBFCA9726C02D145991168C” -> windrv(09).exe 173576
“251E23C14A6F4F33A7D09314792AA72B571783EA” -> winmgr(08).exe 128520
“C6B2C34DE04ACD02CE8850A8A95811503B122E58” -> winmgr(09).exe 144904
“BE0C201E78A675F7A66403992CF11A2F823ACEE7” -> winmgr(10).exe 202248
“E65E7885403024FCAB5BE37E8ED96286287DFE46” -> winmgr(11).exe 165384
“44F7C7757A8B16BD16793E415F6ADF4467EC8B62” -> winmgr(12).exe 99848
“AFE305ACC90A68456652C5659A78E41F7783AF92” -> winmgr(13).exe 144904
“78CEFB836B1644810CBF33D24E6C7C9C36EDA1F2” -> winmgr(14).exe 263688
“AFC69D33C6B948B34229E07E4FDF2E8704E0692C” -> winsvc(02).exe 120328
“5F9F6E6B42B244575BA9633C3CF3E953F9524C4B” -> winsvc(03).exe 181768
que establece conexión con –
125.212.217.30:5050 que vemos que es de Vietnam:
País Vietnam
Ciudad Ho Chi Minh City
Latitud 10.814200401306
Longitud 106.64379882812
ISP Viettel Corporation
y
220.181.87.80:5050 que vemos que es de China:
País China
Ciudad Beijing
Latitud 39.928901672363
Longitud 116.38829803467
ISP China Telecom
Los winmgr son los downloaders y descargan los windrv y winsvc, instalando una clave de lanzamiento para cada uno de ellos. quedando residentes.
El primero de los winmgr indicados, que son los que descargan los demas, subido al virustotal ofrece el siguiente informe:
MD5 7fc21692a8f2a53403743ceecf94e0b6
SHA1 251e23c14a6f4f33a7d09314792aa72b571783ea
Tamaño del fichero 125.5 KB ( 128520 bytes )
SHA256: 8e972ef147b54da29d8d2185cd1c51c11b4bfc44286cae51f39c22f46400eaff
Nombre: winmgr(08).exe
Detecciones: 15 / 54
Fecha de análisis: 2016-07-01 09:04:00 UTC ( hace 5 minutos )
0
1
Antivirus Resultado Actualización
AVG Crypt5.BURJ 20160701
Avast Win32:Evo-gen [Susp] 20160701
Avira (no cloud) TR/Dropper.MSIL.xhir 20160701
ESET-NOD32 a variant of Win32/Kryptik.FBFM 20160701
Fortinet MSIL/Kryptik.GNE!tr 20160701
GData Win32.Worm.Phorpiex.L8J0ID 20160701
K7AntiVirus Trojan ( 004f323c1 ) 20160701
K7GW Trojan ( 004f323c1 ) 20160701
Kaspersky Trojan-Dropper.Win32.Sysn.bspq 20160701
McAfee Artemis!7FC21692A8F2 20160701
McAfee-GW-Edition Artemis!Trojan 20160701
Panda Generic Suspicious 20160630
Sophos Mal/Generic-S 20160701
Symantec Infostealer.Limitail 20160701
Tencent Win32.Trojan-dropper.Sysn.Amwg 20160701
De todas formas vemos que van cambiando continuamente y que sobreescriben algunos ficheros del sistema, por lo que cada caso deberá ser tratado específicamente.
A partir del ELISTARA 34.88 de hoy pasaremos a controlar estas nuevas variantes, y estará disponible en nuestra web a partir de las 15 h CEST de hoy
saludos
ms, 1-7-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.