NUEVO MALWARE DOWNLOADER QUE DESCARGA TROYANO KOVTER.B DE PRONOSTICO RESERVADO, QUE TAMBIEN PASAMOS A MONITORIZAR E INFORMAR AL FINAL DE ESTA NOTICIA

Un nuevo downloader descarga una variante del conocido BOAXE, sin mayores problemas de eliminación a partir de ELISTARA 35.35, y otro mucho peor, del que ya conociamos una primera versión y ahora esta segunda que es corregida y aumentada: el KOVTER.B

El preanalisis de virustotal del downloader ofrece el siguiente informe:
MD5 b31d6f8f182896d23b7ab31d7a463872
SHA1 3a40feb32b8c07f41317bcac065c16ab85f7c74d
File size 52.3 KB ( 53576 bytes )
SHA256:  e5e7d4859ca938d7cc3369099b5dc2eddb8b37f5abe53a115adec1d6e4a62d6c
File name:  b31d6f8f182896d23b7ab31d7a463872
Detection ratio:  30 / 56
Analysis date:  2016-10-04 07:51:55 UTC ( 10 minutes ago )
0
1

Antivirus  Result  Update
AVware  Trojan.Win32.Generic!BT  20161004
Ad-Aware  Trojan.GenericKD.3572790  20161004
AegisLab  Troj.W32.Vbkryjetor!c  20161004
AhnLab-V3  Trojan/Win32.VBKryjetor.N2115223196  20161003
Arcabit  Trojan.Generic.D368436  20161004
Avast  Win32:Dropper-gen [Drp]  20161004
BitDefender  Trojan.GenericKD.3572790  20161004
Bkav  HW32.Packed.B82E  20161003
DrWeb  Trojan.DownLoader22.53164  20161004
Emsisoft  Trojan.GenericKD.3572790 (B)  20161004
F-Secure  Trojan.GenericKD.3572790  20161004
Fortinet  W32/VBKryjetor.ADFH!tr  20161004
GData  Trojan.GenericKD.3572790  20161004
Invincea  trojan.win32.carberp.i  20160928
Kaspersky  Trojan.Win32.VBKryjetor.adfh  20161004
Malwarebytes  Trojan.VBCrypt  20161004
McAfee  RDN/Generic Downloader.x  20161004
McAfee-GW-Edition  BehavesLike.Win32.Downloader.qc  20161004
eScan  Trojan.GenericKD.3572790  20161004
Microsoft  Trojan:Win32/Miuref.R  20161004
Panda  Trj/CI.A  20161002
Rising  Trojan.VBKryjetor!8.778-7H7qkd1jp3Q (cloud)  20161004
Sophos  Mal/Generic-S  20161004
Symantec  Trojan.Gen  20161004
Tencent  Win32.Trojan.Vbkryjetor.Pbyr  20161004
TrendMicro  TROJ_GEN.R047C0CJ116  20161004
TrendMicro-HouseCall  TROJ_GEN.R047C0CJ116  20161004
VBA32  suspected of Trojan.Downloader.gen.h  20161003
VIPRE  Trojan.Win32.Generic!BT  20161004
ViRobot  Trojan.Win32.Z.Agent.53576.AC[h]  20161004
y analizado el KOVTER.B, este es el informe de virustotal:
MD5 e0f7cfd7ae6275034b438234a84c8255
SHA1 9a9819b9efa060c179eabaf783b5d4d0a4c1647f
File size 278.9 KB ( 285564 bytes )
SHA256:  300bbcdd4bd3b2a65493585b0e8ed0836bd94f2458ce9b075269bf1193d48e0b
File name:  e0f7cfd7.gxe
Detection ratio:  20 / 56
Analysis date:  2016-10-04 07:21:17 UTC ( 49 minutes ago )
0
1

AVG  Generic_vb.NCA  20161004
AegisLab  Heur.Advml.Gen!c  20161004
Antiy-AVL  Trojan/Win32.Kovter  20161004
Avast  Win32:Malware-gen  20161004
Avira (no cloud)  TR/Dropper.VB.ccgns  20161004
Baidu  Win32.Trojan.WisdomEyes.151026.9950.9976  20161001
BitDefender  Gen:Variant.Symmi.68181  20161004
CrowdStrike Falcon (ML)  malicious_confidence_100% (W)  20160725
ESET-NOD32  Win32/Kovter.C  20161004
Emsisoft  Gen:Variant.Symmi.68181 (B)  20161004
Fortinet  W32/Kovter.C!tr  20161004
GData  Gen:Variant.Symmi.68181  20161004
Invincea  trojanspy.win32.rebhip.a!upx  20160928
Kaspersky  Trojan.Win32.Kovter.tqr  20161004
Malwarebytes  Trojan.MalPack  20161004
McAfee  Artemis!E0F7CFD7AE62  20161004
McAfee-GW-Edition  BehavesLike.Win32.Generic.dc  20161004
Qihoo-360  Win32/Trojan.Dropper.ea5  20161004
Sophos  Mal/Generic-S  20161004
Symantec  Heur.AdvML.B  20161004

Queda residente con 2 procesos activos “REGSVR32.EXE”, que uno protege al otro.

El nombre de los ficheros, carpetas, valores y claves son variables
en cada instalacion.
ELIMINACION MANUAL NECESARIA PARA ESTA NUEVA VERSION DEL KOVTER.B:

– Detener Procesos Activos “REGSVR32.EXE”, desde linea de comandos con
el TSKILL.EXE (con el Administrador de Tareas no da tiempo)
– Eliminar Carpetas y Link
– Eliminar Claves [HKCU y HKLM\SOFTWARE\********] (donde el nombre ******** se puede obtener de las claves de lanzamiento O4 RUN al respecto)
– Reiniciar Sistema (ignorar errores causados por la falta del SCript)
– Con el Editor del Registro renombrar las claves de los O4s (ejem. “__Run”)
[HKCU y HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
– Reiniciar y volver a renombrar dejando su nombre original “Run”
– Opcionalmente se puede desinstalar “WindowsPowerShell”, ejecutando
“%WinDir%\$968930Uinstall_KB968930$\spuninst\spuninst.exe”

Toda una historia que requerirá manos expertas que sigan los pasos arriba indicados, pero mejor cuidarse de dar entrada a este malware, instalando un antivirus como McAfee (con la heuristica a Nivel MUY ALTO) o Kaspersky, que controlan el downloader que lo descarga, además de controlar propiamente el malware evitando su entrada, pues sino, se arma la de Troya !
DOWNLOADER:

Kaspersky  Trojan.Win32.VBKryjetor.adfh  20161004
McAfee  RDN/Generic Downloader.x  20161004
KOVTER.B:

Kaspersky  Trojan.Win32.Kovter.tqr  20161004
McAfee  Artemis!E0F7CFD7AE62  20161004
Dicha versión del ELISTARA 35.35 que detectará dichas variantes, estará disponible en nuestra web a partir del 5-10-2016
saludos

ms, 4-10-2016