NUEVAS VARIANTES DE BACKDOOR KIRTS Y DETALLES DE DICHO MALWARE

Parece que este malware está de moda, dado que se actualiza él solo en los ordenadores infectados, y se propaga por el AUTORUN.INF de los pendrives infectados, dejando residentes los ficheros que utiliza, a saber:

“windrv.exe”, “winsvc.exe” y 2 “winmgr.exe”

Para tener una idea, son ya 80 las variantes que conocemos de este malware y que ya controlamos con el ELISTARA…

y son 4 los nuevos que pasamos a controlar con el ELISTARA 35.16 de hoy

El preanalisis de virustotal del último de ellos, ofrece el siguiente informe:

MD5 5b99b211a6d06422ad1b1fd4ea86aa36
SHA1 fec86945882c4d9bfddc0a03dd1edd684e19ecc8
File size 261.4 KB ( 267688 bytes )
SHA256: 47e732b1d04ae1912701683fa35a7ffb7a7ae590456379e6e160c576c6e9c311
File name: winmgr(80).exe
Detection ratio: 7 / 57
Analysis date: 2016-09-07 14:00:53 UTC ( 8 minutes ago )
0
1

Antivirus Result Update
Baidu Win32.Trojan.WisdomEyes.151026.9950.9999 20160907
ESET-NOD32 a variant of MSIL/Injector.QFM 20160907
GData MSIL.Trojan.Injector.GX 20160907
Invincea backdoor.win32.kirts.a 20160830
Kaspersky UDS:DangerousObject.Multi.Generic 20160907
McAfee Artemis!5B99B211A6D0 20160907
McAfee-GW-Edition Artemis!Trojan 20160907

Recordamos que nuestra utilidad ELIPEN.EXE bloquea la autoejecución de los AUTORUN.INF de las unidades extraibles, asi como evita que a las unidades vacunadas con dicha utilidad les sea instalado un AUTORUN.INF como intenta hacer este malware.

Dicha versión del ELISTARA 35.16 que los detecta y elimina, estará disponible en nuestra web a partir del 8-9-2016

saludos

ms, 7-9-2016