OTRAS 7 NUEVAS VARIANTES DE BACKDOOR KIRTS, QUE INFECTA PENDRIVES, COMO YA INDICAMOS LA SEMANA PASADA
Siguen llegando variantes de esta familia de backdoors KIRTS, que además de infectar pendrives , oculta sus ficheros con atributos S, H, R y crea un fichero . lnk que ejecuta un AUTORUN.INF que lanza un MANAGER.JS y un BAT que ejecuta el fichero MANAGER.EXE, todos ellos con atributos segun se indica:
X:\ %NombreVol%.lnk (apunta a “Manager.js”)
X:\ autorun.inf (apunta a “Manager.js”) (+s+h+r)
X:\ Manager.js (ejecuta al BAT) (+s+h+r)
X:\ DeviceManager.bat (ejecuta al EXE) (+s+h+r)
X:\ _\ DeviceManager\ Manager.exe (+s+h+r)
Los hashes resultantes de analizarlos con SHA1 ofrecen estos datos:
“19A9CE0DA70FAE8699D667B33CA4C5B21187C95E” -> 9ae5fa33.exe 316864
“410A659B248877EAF811195D4DA9BC561D80424B” -> windrv(19).exe 243136
“E5C9FAB9F9CF20365C7B237F4B42F74AD330F5CC” -> winmgr(29).exe 165312
“46121FCCF16DCFACB2E558D79DB3EC35A0B26F2F” -> winmgr(30).exe 210368
“3239F9A0A45B30F32F9E2A6090340700F161B6AF” -> winmgr(31).exe 165312
“CBFDB778752E6B02263D940F716DE5B565B02666” -> winmgr(32).exe 161216
“A61B16EDEB0459E54B65D079808D826B063538C3” -> winmgr(33).exe 165312
El preanalisis de virustotal del mas grande de ellos, ofrece el siguiente informe:
MD5 9ae5fa339ccd80c776a06f786e34df4d
SHA1 19a9ce0da70fae8699d667b33ca4c5b21187c95e
Tamaño del fichero 309.4 KB ( 316864 bytes )
SHA256: 366b24f59ea8f8dbbb8e3b519da9b0422a1f19ec7c62aacfd29c47812c11c398
Nombre: 9ae5fa33.exe
Detecciones: 17 / 54
Fecha de análisis: 2016-07-05 09:33:31 UTC ( hace 7 minutos )
0
2
Antivirus Resultado Actualización
AegisLab Troj.Msil.Agent!c 20160705
AhnLab-V3 Backdoor/Win32.Kirts.N2039755268 20160705
Avast Win32:Malware-gen 20160705
Avira (no cloud) TR/Dropper.MSIL.hiys 20160705
DrWeb Trojan.DownLoader22.2218 20160705
ESET-NOD32 a variant of MSIL/Kryptik.GOM 20160705
Fortinet W32/Agent.ABVCX!tr 20160705
GData Win32.Trojan.Agent.T1454O 20160705
K7AntiVirus Trojan ( 004f35821 ) 20160705
K7GW Trojan ( 004f35821 ) 20160705
Kaspersky Trojan.MSIL.Agent.abvcx 20160705
McAfee Artemis!9AE5FA339CCD 20160705
McAfee-GW-Edition Artemis!Trojan 20160705
eScan Trojan.GenericKD.3377680 20160705
Panda Generic Suspicious 20160704
Sophos Mal/Generic-S 20160705
Symantec Heur.AdvML.C 20160701
Dicha versión del ELISTARA 34.90 que los detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy
saludos
ms, 5-7-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.