Nuevo malware con funciones de spyware detectado por EliStarA

Hemos recibido una muestra de un malware que tiene funciones de downloader que descarga librerías de TeamViewer para controlar el equipo, registrando pantallazos de nuestro equipo, teclado, micro y cámara.

El downloader es:

Nombre del fichero:     wimps.exe

MD5 023a319c0786b86b8072b675732601da
SHA1 002fb3665e7281f623848233f6db235644b87430
SHA256 5f9de1be9de4c6e7cfd4bce97f7f2d651a8aef724bf82d8051aaacb932e17589

ALYac     Trojan.Lethic.Gen.7     20161014
AVG     Luhe.Fiha.A     20161014
Ad-Aware     Trojan.Lethic.Gen.7     20161014
AegisLab     Troj.Spy.W32.Zbot!c     20161014
AhnLab-V3     Spyware/Win32.Zbot.C1598115     20161013
Antiy-AVL     Trojan[Spy]/Win32.Zbot     20161014
Arcabit     Trojan.Lethic.Gen.7     20161014
Avast     Win32:Trojan-gen     20161014
Avira (no cloud)     DR/Delphi.wawss     20161014
BitDefender     Trojan.Lethic.Gen.7     20161014
Bkav     W32.eHeur.Malware09     20161013
CrowdStrike Falcon (ML)     malicious_confidence_93% (W)     20160725
DrWeb     Trojan.DownLoader22.57563     20161014
ESET-NOD32     a variant of Win32/Injector.DCAI     20161014
Emsisoft     Trojan.Lethic.Gen.7 (B)     20161014
F-Secure     Trojan.Lethic.Gen.7     20161014
Fortinet     W32/Zbot.DCAI!tr     20161014
GData     Trojan.Lethic.Gen.7     20161014
Invincea     backdoor.win32.fynloski.a     20160928
K7AntiVirus     Trojan ( 004f45931 )     20161014
K7GW     Trojan ( 004f45931 )     20161014
Kaspersky     Trojan-Spy.Win32.Zbot.xhcz     20161014
Malwarebytes     Spyware.InfoStealer.INJ     20161014
McAfee     Trojan-FJIR!023A319C0786     20161014
McAfee-GW-Edition     Trojan-FJIR!023A319C0786     20161014
eScan     Trojan.Lethic.Gen.7     20161014
Microsoft     Trojan:Win32/Dynamer!ac     20161014
NANO-Antivirus     Trojan.Win32.Zbot.ehdnpa     20161014
Panda     Trj/GdSda.A     20161013
Qihoo-360     Win32/Trojan.5e4     20161014
Rising     Malware.Generic!5Gp1S4Co6iB@4 (thunder)     20161014
Tencent     Win32.Trojan-spy.Zbot.Bxq     20161014
TrendMicro     TROJ_FORUCON.BMC     20161014
TrendMicro-HouseCall     TROJ_FORUCON.BMC     20161014
ViRobot     Trojan.Win32.Z.Zbot.723968.K[h]     20161014

El descargado es:

Nombre del fichero:     20194.exe

MD5 3f621d873861ae72d5a61bb9f0d1e852
SHA1 803e92aba6959d719494061742fd4b00f0495e4e
SHA256 867251c1be04e0a613af0b7e8e4fb91a5f7274c99948f0a2ba741345059440dc

AVG     Luhe.Fiha.A     20161014
Antiy-AVL     Trojan/Win32.TSGeneric     20161014
Avast     Win32:Malware-gen     20161014
Avira (no cloud)     DR/Delphi.tgamz     20161014
Bkav     W32.eHeur.Malware09     20161013
CrowdStrike Falcon (ML)     malicious_confidence_100% (D)     20160725
DrWeb     Trojan.DownLoader22.57563     20161014
ESET-NOD32     a variant of Win32/Injector.DCAI     20161014
Fortinet     W32/Buzus.DCAI!tr     20161014
Invincea     backdoor.win32.fynloski.a     20160928
Kaspersky     Trojan.Win32.Buzus.ycof     20161014
Malwarebytes     Spyware.InfoStealer.INJ     20161014
McAfee     Artemis!3F621D873861     20161014
McAfee-GW-Edition     BehavesLike.Win32.BadFile.th     20161014
Rising     Malware.Generic!5Gp1S4Co6iB@4 (thunder)     20161014
SUPERAntiSpyware     Trojan.Agent/Gen-Lethic     20161014
Sophos     Mal/Generic-S     20161014
Tencent     Win32.Trojan.Buzus.Lmus     20161014
TrendMicro-HouseCall     TROJ_GEN.R0EAH0CJD16     20161014

El Spyware utiliza el TeamViewer v7.0 para el acceso remoto, dejando procesos activos “32225.EXE”, “TEAMVIEWER.EXE” y “TV_W32.EXE”

La versión versión actual de EliStarA ya controla el downloader, la versión de hoy (EliStarA v. 35.42) detectará el descargado como Spy.Wimps.