OTRAS 7 NUEVAS VARIANTES DE BACKDOOR KIRTS, QUE INFECTA PENDRIVES, COMO YA INDICAMOS LA SEMANA PASADA

Publicado el 5 julio 2016 ¬ 11:45 amh.mscComentarios desactivados en OTRAS 7 NUEVAS VARIANTES DE BACKDOOR KIRTS, QUE INFECTA PENDRIVES, COMO YA INDICAMOS LA SEMANA PASADA

Siguen llegando variantes de esta familia de backdoors KIRTS, que además de infectar pendrives , oculta sus ficheros con atributos S, H, R y crea un fichero . lnk que ejecuta un AUTORUN.INF que lanza un MANAGER.JS y un BAT que ejecuta el fichero MANAGER.EXE, todos ellos con atributos segun se indica:

X:\ %NombreVol%.lnk   (apunta a “Manager.js”)
X:\ autorun.inf       (apunta a “Manager.js”)     (+s+h+r)
X:\ Manager.js        (ejecuta al BAT)            (+s+h+r)
X:\ DeviceManager.bat (ejecuta al EXE)            (+s+h+r)
X:\ _\ DeviceManager\ Manager.exe                 (+s+h+r)

Los hashes resultantes de analizarlos con SHA1 ofrecen estos datos:

“19A9CE0DA70FAE8699D667B33CA4C5B21187C95E” -> 9ae5fa33.exe  316864
“410A659B248877EAF811195D4DA9BC561D80424B” -> windrv(19).exe  243136
“E5C9FAB9F9CF20365C7B237F4B42F74AD330F5CC” -> winmgr(29).exe  165312
“46121FCCF16DCFACB2E558D79DB3EC35A0B26F2F” -> winmgr(30).exe  210368
“3239F9A0A45B30F32F9E2A6090340700F161B6AF” -> winmgr(31).exe  165312
“CBFDB778752E6B02263D940F716DE5B565B02666” -> winmgr(32).exe  161216
“A61B16EDEB0459E54B65D079808D826B063538C3” -> winmgr(33).exe  165312

El preanalisis de virustotal del mas grande de ellos, ofrece el siguiente informe:

MD5 9ae5fa339ccd80c776a06f786e34df4d
SHA1 19a9ce0da70fae8699d667b33ca4c5b21187c95e
Tamaño del fichero 309.4 KB ( 316864 bytes )
SHA256:  366b24f59ea8f8dbbb8e3b519da9b0422a1f19ec7c62aacfd29c47812c11c398
Nombre:  9ae5fa33.exe
Detecciones:  17 / 54
Fecha de análisis:  2016-07-05 09:33:31 UTC ( hace 7 minutos )
0
2

Antivirus  Resultado  Actualización
AegisLab  Troj.Msil.Agent!c  20160705
AhnLab-V3  Backdoor/Win32.Kirts.N2039755268  20160705
Avast  Win32:Malware-gen  20160705
Avira (no cloud)  TR/Dropper.MSIL.hiys  20160705
DrWeb  Trojan.DownLoader22.2218  20160705
ESET-NOD32  a variant of MSIL/Kryptik.GOM  20160705
Fortinet  W32/Agent.ABVCX!tr  20160705
GData  Win32.Trojan.Agent.T1454O  20160705
K7AntiVirus  Trojan ( 004f35821 )  20160705
K7GW  Trojan ( 004f35821 )  20160705
Kaspersky  Trojan.MSIL.Agent.abvcx  20160705
McAfee  Artemis!9AE5FA339CCD  20160705
McAfee-GW-Edition  Artemis!Trojan  20160705
eScan  Trojan.GenericKD.3377680  20160705
Panda  Generic Suspicious  20160704
Sophos  Mal/Generic-S  20160705
Symantec  Heur.AdvML.C  20160701

Dicha versión del ELISTARA 34.90 que los detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 5-7-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies