UN ZEPTO ATIPICO QUE SE DESCARGA AL EJECUTAR UN FICHERO SVCHOST.EXE QUE LLEGA ANEXADO A UN MAIL
La excepción que confirma la regla: Un SVCHOST.EXE anexado a un mail, descarga e instala un ransomware ZEPTO
A partir de la versión 35.20 del ELISTARA pasamos a controlar tanto el downloader indicado como el fichero descargado, a saber, un SVCHOST.EXE y un baf9e357.dll
Los preanalisis de virustotal de ambos ficheros ofrecen los siguiente informes:
El del SVCHOST downloader:
MD5 7554244ea84457f53ab9d4989c4d363d
SHA1 43be8c385b69dfb21bbee8e655068aa2aafb22a2
File size 80.0 KB ( 81920 bytes )
SHA256: 1e278e78a4261ebd65d2fc9b2d477bb8c19e15a22aea669947b531859cd12216
File name: svchost.exe
Detection ratio: 30 / 58
Analysis date: 2016-09-13 14:12:58 UTC ( 1 minute ago )
0
2
Antivirus Result Update
ALYac Trojan.Ransom.LockyCrypt 20160913
AVG Atros4.OFY 20160913
AVware Virtool.Win32.Obfuscator.as!a (v) 20160913
Ad-Aware Trojan.GenericKD.3522861 20160913
AhnLab-V3 Trojan/Win32.Locky.N2103993811 20160913
Antiy-AVL Trojan[Ransom]/Win32.Locky 20160913
Arcabit Trojan.Generic.D35C12D 20160913
Avast Win32:Trojan-gen 20160913
BitDefender Trojan.GenericKD.3522861 20160913
Bkav W32.eHeur.Malware03 20160913
CrowdStrike Falcon (ML) malicious_confidence_70% (W) 20160725
Cyren W32/Trojan.VFNM-5621 20160913
DrWeb Trojan.PWS.Stealer.13052 20160913
ESET-NOD32 Win32/Pliskal.C 20160913
Emsisoft Trojan.GenericKD.3522861 (B) 20160913
F-Secure Trojan.GenericKD.3522861 20160913
GData Trojan.GenericKD.3522861 20160913
Ikarus Trojan.Win32.Pliskal 20160913
K7AntiVirus Trojan ( 004f84e91 ) 20160913
K7GW Trojan ( 004f84e91 ) 20160913
Kaspersky Trojan-Ransom.Win32.Locky.bwk 20160913
McAfee Artemis!7554244EA844 20160913
McAfee-GW-Edition BehavesLike.Win32.BadFile.mh 20160912
eScan Trojan.GenericKD.3522861 20160913
Panda Trj/Locky.A 20160912
Qihoo-360 Trojan.Generic 20160913
Sophos Troj/Agent-ATQG 20160913
Symantec Trojan Horse 20160913
Tencent Win32.Trojan.Raasj.Auto 20160913
VIPRE Virtool.Win32.Obfuscator.as!a (v) 20160913
y el de la DLL que es propiamente el ransomware ZEPTO:
MD5 baf9e357a90ccf15bcf875719b01ebbc
SHA1 ddc92ae95c68145fd5331e408cdb58dafd637821
File size 134.0 KB ( 137216 bytes )
SHA256: 89e156f42cd465a1af2d927aa59a0d65789b2321ae1a45a0485801a6535a9fe7
File name: baf9e357.dll
Detection ratio: 38 / 58
Analysis date: 2016-09-13 14:16:07 UTC ( 0 minutes ago )
0
3
Antivirus Result Update
ALYac Trojan.Ransom.Locky.AA 20160913
AVG Win32/Heim.C 20160913
AVware Trojan.Win32.Generic!BT 20160913
Ad-Aware Trojan.Ransom.Locky.AA 20160913
AhnLab-V3 Malware/Win32.Ransom_.N2104214371 20160913
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20160913
Arcabit Trojan.Ransom.Locky.AA 20160913
Avast Win32:Malware-gen 20160913
BitDefender Trojan.Ransom.Locky.AA 20160913
CrowdStrike Falcon (ML) malicious_confidence_85% (D) 20160725
Cyren W32/Ransom.CBLH-5768 20160913
DrWeb Trojan.Encoder.3976 20160913
ESET-NOD32 a variant of Win32/Filecoder.Locky.H 20160913
Emsisoft Trojan.Ransom.Locky.AA (B) 20160913
F-Secure Trojan.Ransom.Locky.AA 20160913
GData Trojan.Ransom.Locky.AA 20160913
Ikarus Trojan-Ransom.Locky 20160913
Invincea trojandropper.win32.sventore.a 20160912
K7AntiVirus Trojan ( 004f3c581 ) 20160913
K7GW Trojan ( 004f3c581 ) 20160913
Kaspersky HEUR:Trojan.Win32.Generic 20160913
Malwarebytes Ransom.Locky 20160913
McAfee RDN/Ransom 20160913
McAfee-GW-Edition BehavesLike.Win32.Dropper.ch 20160912
eScan Trojan.Ransom.Locky.AA 20160913
Microsoft Ransom:Win32/Locky.A 20160913
NANO-Antivirus Trojan.Win32.Encoder.efyqjj 20160913
Panda Trj/GdSda.A 20160912
Qihoo-360 Win32/Trojan.Ransom.de3 20160913
Rising Malware.Generic!fhNw43oaz5J@1 (thunder) 20160913
Sophos Mal/Generic-S 20160913
Symantec Ransom.TeslaCrypt 20160913
Tencent Win32.Trojan.Filecoder.Pjxh 20160913
TrendMicro Ransom_LOCKY.F116IC 20160913
TrendMicro-HouseCall Ransom_LOCKY.F116IC 20160913
VBA32 SScope.Malware-Cryptor.Filecoder 20160913
VIPRE Trojan.Win32.Generic!BT 20160913
ViRobot Trojan.Win32.Z.Locky.137216.C[h] 20160913
Cabe indicar que si bien el ZEPTO se ubica en la carpèta temporal, y cualquier eliminador de temporales, como el ELISTARA, lo elimina directamente al ser lanzado, el donwloader se lanza desde una clave O4 RUN, por lo que si no se elimina explicitamente, volvería a instalar de nuevo el ZEPTO al reiniciar el ordenador.
Dicha versión del ELISTARA 35.20 que los detecta y elimina, estará disponible en nuestra web a partir del 14.9.2016
saludos
ms, 13-9-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.