NUEVO MALWARE JBCSS QUE LLEGA EN LA MACRO DE UN DOC QUE DESCARGA FICHERO CIFRADO CON XOR

Recibimos muestra de fichero DOC, cuya macro descarga ficheros con enlace y descarga de una web maliciosa:

http://njstat.com/jb.css

El fichero que descarga está cifrado con XOR, que una vez descifrado resulta ser un ejecutable que pasamos a controlar a partir del ELISTARA 35.52 de hoy.
El preanalisis de virustotal del fichero descifrado, ofrece el siguiente informe:

MD5 809d3b9cdbc7ba8847cc4ef8d8de512d
SHA1 f29d4849a3053efff95c160519ce47cf381f8c03
File size 560.0 KB ( 573440 bytes )
SHA256:  172f359baa478d80a9a8eccde0393e3fb8a58f0444a1b71d99d87c6a50855297
File name:  809d3b9cdbc7ba8847cc4ef8d8de512d
Detection ratio:  14 / 57
Analysis date:  2016-10-28 06:44:13 UTC ( 1 hour, 15 minutes ago )
0
1

Antivirus  Result  Update
AVG  Generic_s.KPK  20161028
AegisLab  Troj.Dropper.W32.Injector.mBY3  20161028
Avast  Win32:CrypVault-A [Trj]  20161027
Baidu  Win32.Trojan.WisdomEyes.16070401.9500.9730  20161028
CrowdStrike Falcon (ML)  malicious_confidence_100% (W)  20161024
DrWeb  BackDoor.Siggen.60255  20161028
ESET-NOD32  a variant of Generik.KGHJKEO  20161028
Invincea  ransom.win32.crowti.a  20161018
Kaspersky  Trojan.Win32.Crypt.eql  20161028
McAfee  Artemis!809D3B9CDBC7  20161028
McAfee-GW-Edition  BehavesLike.Win32.Autorun.hc  20161028
Qihoo-360  Win32/Trojan.31c  20161028
Rising  Malware.Generic!0zdJDK1dIQQ@5 (thunder)  20161028
Symantec  Heur.AdvML.B  20161028
De todas formas, parece que hay algun error en el código de esta versión , pues hemos tenido que extraer el EXE manualmente, al no hacerlo automáticamente el proceso de la macro (???)

Dicha versión del ELISTARA 35.52 que lo detecta y elimina, estará disponible en nuestra web a partir del 29-10-2016

Vemos que pudiera ser un keylogger, ya que provoca el doble acento típico de los SPYZBOT, y que delata su presencia.

FINALMENTE Y DADO LO INDICADO, LO CONTROLAREMOS COMO SPYZBOT-W COMOOTRO MUY SIMLAR QUE YA CONTROLAMOS

saludos

ms, 29-10-2016