Nuevo malware con funciones de spyware detectado por EliStarA
Hemos recibido una muestra de un malware que tiene funciones de downloader que descarga librerías de TeamViewer para controlar el equipo, registrando pantallazos de nuestro equipo, teclado, micro y cámara.
El downloader es:
Nombre del fichero: wimps.exe
MD5 023a319c0786b86b8072b675732601da
SHA1 002fb3665e7281f623848233f6db235644b87430
SHA256 5f9de1be9de4c6e7cfd4bce97f7f2d651a8aef724bf82d8051aaacb932e17589
ALYac Trojan.Lethic.Gen.7 20161014
AVG Luhe.Fiha.A 20161014
Ad-Aware Trojan.Lethic.Gen.7 20161014
AegisLab Troj.Spy.W32.Zbot!c 20161014
AhnLab-V3 Spyware/Win32.Zbot.C1598115 20161013
Antiy-AVL Trojan[Spy]/Win32.Zbot 20161014
Arcabit Trojan.Lethic.Gen.7 20161014
Avast Win32:Trojan-gen 20161014
Avira (no cloud) DR/Delphi.wawss 20161014
BitDefender Trojan.Lethic.Gen.7 20161014
Bkav W32.eHeur.Malware09 20161013
CrowdStrike Falcon (ML) malicious_confidence_93% (W) 20160725
DrWeb Trojan.DownLoader22.57563 20161014
ESET-NOD32 a variant of Win32/Injector.DCAI 20161014
Emsisoft Trojan.Lethic.Gen.7 (B) 20161014
F-Secure Trojan.Lethic.Gen.7 20161014
Fortinet W32/Zbot.DCAI!tr 20161014
GData Trojan.Lethic.Gen.7 20161014
Invincea backdoor.win32.fynloski.a 20160928
K7AntiVirus Trojan ( 004f45931 ) 20161014
K7GW Trojan ( 004f45931 ) 20161014
Kaspersky Trojan-Spy.Win32.Zbot.xhcz 20161014
Malwarebytes Spyware.InfoStealer.INJ 20161014
McAfee Trojan-FJIR!023A319C0786 20161014
McAfee-GW-Edition Trojan-FJIR!023A319C0786 20161014
eScan Trojan.Lethic.Gen.7 20161014
Microsoft Trojan:Win32/Dynamer!ac 20161014
NANO-Antivirus Trojan.Win32.Zbot.ehdnpa 20161014
Panda Trj/GdSda.A 20161013
Qihoo-360 Win32/Trojan.5e4 20161014
Rising Malware.Generic!5Gp1S4Co6iB@4 (thunder) 20161014
Tencent Win32.Trojan-spy.Zbot.Bxq 20161014
TrendMicro TROJ_FORUCON.BMC 20161014
TrendMicro-HouseCall TROJ_FORUCON.BMC 20161014
ViRobot Trojan.Win32.Z.Zbot.723968.K[h] 20161014
El descargado es:
Nombre del fichero: 20194.exe
MD5 3f621d873861ae72d5a61bb9f0d1e852
SHA1 803e92aba6959d719494061742fd4b00f0495e4e
SHA256 867251c1be04e0a613af0b7e8e4fb91a5f7274c99948f0a2ba741345059440dc
AVG Luhe.Fiha.A 20161014
Antiy-AVL Trojan/Win32.TSGeneric 20161014
Avast Win32:Malware-gen 20161014
Avira (no cloud) DR/Delphi.tgamz 20161014
Bkav W32.eHeur.Malware09 20161013
CrowdStrike Falcon (ML) malicious_confidence_100% (D) 20160725
DrWeb Trojan.DownLoader22.57563 20161014
ESET-NOD32 a variant of Win32/Injector.DCAI 20161014
Fortinet W32/Buzus.DCAI!tr 20161014
Invincea backdoor.win32.fynloski.a 20160928
Kaspersky Trojan.Win32.Buzus.ycof 20161014
Malwarebytes Spyware.InfoStealer.INJ 20161014
McAfee Artemis!3F621D873861 20161014
McAfee-GW-Edition BehavesLike.Win32.BadFile.th 20161014
Rising Malware.Generic!5Gp1S4Co6iB@4 (thunder) 20161014
SUPERAntiSpyware Trojan.Agent/Gen-Lethic 20161014
Sophos Mal/Generic-S 20161014
Tencent Win32.Trojan.Buzus.Lmus 20161014
TrendMicro-HouseCall TROJ_GEN.R0EAH0CJD16 20161014
El Spyware utiliza el TeamViewer v7.0 para el acceso remoto, dejando procesos activos “32225.EXE”, “TEAMVIEWER.EXE” y “TV_W32.EXE”
La versión versión actual de EliStarA ya controla el downloader, la versión de hoy (EliStarA v. 35.42) detectará el descargado como Spy.Wimps.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.