SIGUEN PROLIFERANDO LAS NUEVAS VARIANTES DE LA FAMILIA DEL BACKDOOR KIRTS

No paran de aparecer nuevas variantes de esta familia que infecta pendrives y genera ficheros con atributos de S, H, y R para ocultarlos, asi como lineas de relleno en el AUTORUN.INF para disimular su contenido.

Los hashes de los ficheros que pasamos a controlar a partir del ELISTARA 34.91 de hoy son los siguientes:

“CC9690073ADD99A1DE3CF4141F5D05D52647F11E” -> windrv(20).exe  308672
“13A7F3872BC495880D97FDDBA42D61F03C66F439” -> winmgr(34).exe  210368
“D996ABDCC8305403F158BE526036E175FDF4A07F” -> winmgr(35).exe  193984
“D3AED604D63F6807A3F2FE05F0448C16A6F551E1” -> winmgr(36).exe  234944
“B383ECA9A7B3B3F86A3A2FE3DDEEAC68D0C5B8EA” -> winmgr(37).exe  210368
“02CDDD9C1C5C2012F81FF62901CDD52942B837BA” -> winsvc(05).exe  243136

De ellos, el mayor, subido a  virustotal, ofrece el siguiente informe:

MD5 78b29ce29d9c806a34e893ea59a41672
SHA1 cc9690073add99a1de3cf4141f5d05d52647f11e
Tamaño del fichero 301.4 KB ( 308672 bytes )
SHA256:  fe59fb0d7158ec030b2e98713f418f3a109c50411f781c8f52755451e7048505
Nombre:  windrv(20).exe
Detecciones:  5 / 54
Fecha de análisis:  2016-07-06 08:24:21 UTC ( hace 2 minutos )
0
1
Antivirus  Resultado  Actualización
Avira (no cloud)  TR/Dropper.MSIL.zdoy  20160706
ESET-NOD32  a variant of MSIL/Kryptik.GOQ  20160706
Fortinet  MSIL/Kryptik.GOD!tr  20160706
GData  MSIL.Trojan-Spy.Keylogger.M  20160706
Microsoft  Backdoor:Win32/Kirts.A  20160706

Dicha versión del ELISTARA 34.91, que los detecta y elimina, estará disponible en  nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 6-7-2016