UN ZEPTO ATIPICO QUE SE DESCARGA AL EJECUTAR UN FICHERO SVCHOST.EXE QUE LLEGA ANEXADO A UN MAIL

Publicado el 13 septiembre 2016 ¬ 16:38 pmh.mscComentarios desactivados en UN ZEPTO ATIPICO QUE SE DESCARGA AL EJECUTAR UN FICHERO SVCHOST.EXE QUE LLEGA ANEXADO A UN MAIL

La excepción que confirma la regla: Un SVCHOST.EXE anexado a un mail, descarga e instala un ransomware ZEPTO

A partir de la versión 35.20 del ELISTARA pasamos a controlar tanto el downloader indicado como el fichero descargado, a saber, un SVCHOST.EXE y un baf9e357.dll

Los preanalisis de virustotal de ambos ficheros ofrecen los siguiente informes:

El del SVCHOST downloader:

MD5 7554244ea84457f53ab9d4989c4d363d
SHA1 43be8c385b69dfb21bbee8e655068aa2aafb22a2
File size 80.0 KB ( 81920 bytes )
SHA256:  1e278e78a4261ebd65d2fc9b2d477bb8c19e15a22aea669947b531859cd12216
File name:  svchost.exe
Detection ratio:  30 / 58
Analysis date:  2016-09-13 14:12:58 UTC ( 1 minute ago )
0
2

Antivirus  Result  Update
ALYac  Trojan.Ransom.LockyCrypt  20160913
AVG  Atros4.OFY  20160913
AVware  Virtool.Win32.Obfuscator.as!a (v)  20160913
Ad-Aware  Trojan.GenericKD.3522861  20160913
AhnLab-V3  Trojan/Win32.Locky.N2103993811  20160913
Antiy-AVL  Trojan[Ransom]/Win32.Locky  20160913
Arcabit  Trojan.Generic.D35C12D  20160913
Avast  Win32:Trojan-gen  20160913
BitDefender  Trojan.GenericKD.3522861  20160913
Bkav  W32.eHeur.Malware03  20160913
CrowdStrike Falcon (ML)  malicious_confidence_70% (W)  20160725
Cyren  W32/Trojan.VFNM-5621  20160913
DrWeb  Trojan.PWS.Stealer.13052  20160913
ESET-NOD32  Win32/Pliskal.C  20160913
Emsisoft  Trojan.GenericKD.3522861 (B)  20160913
F-Secure  Trojan.GenericKD.3522861  20160913
GData  Trojan.GenericKD.3522861  20160913
Ikarus  Trojan.Win32.Pliskal  20160913
K7AntiVirus  Trojan ( 004f84e91 )  20160913
K7GW  Trojan ( 004f84e91 )  20160913
Kaspersky  Trojan-Ransom.Win32.Locky.bwk  20160913
McAfee  Artemis!7554244EA844  20160913
McAfee-GW-Edition  BehavesLike.Win32.BadFile.mh  20160912
eScan  Trojan.GenericKD.3522861  20160913
Panda  Trj/Locky.A  20160912
Qihoo-360  Trojan.Generic  20160913
Sophos  Troj/Agent-ATQG  20160913
Symantec  Trojan Horse  20160913
Tencent  Win32.Trojan.Raasj.Auto  20160913
VIPRE  Virtool.Win32.Obfuscator.as!a (v)  20160913

y el de la DLL que es propiamente el ransomware ZEPTO:

MD5 baf9e357a90ccf15bcf875719b01ebbc
SHA1 ddc92ae95c68145fd5331e408cdb58dafd637821
File size 134.0 KB ( 137216 bytes )
SHA256:  89e156f42cd465a1af2d927aa59a0d65789b2321ae1a45a0485801a6535a9fe7
File name:  baf9e357.dll
Detection ratio:  38 / 58
Analysis date:  2016-09-13 14:16:07 UTC ( 0 minutes ago )
0
3

Antivirus  Result  Update
ALYac  Trojan.Ransom.Locky.AA  20160913
AVG  Win32/Heim.C  20160913
AVware  Trojan.Win32.Generic!BT  20160913
Ad-Aware  Trojan.Ransom.Locky.AA  20160913
AhnLab-V3  Malware/Win32.Ransom_.N2104214371  20160913
Antiy-AVL  Trojan[:HEUR]/Win32.AGeneric  20160913
Arcabit  Trojan.Ransom.Locky.AA  20160913
Avast  Win32:Malware-gen  20160913
BitDefender  Trojan.Ransom.Locky.AA  20160913
CrowdStrike Falcon (ML)  malicious_confidence_85% (D)  20160725
Cyren  W32/Ransom.CBLH-5768  20160913
DrWeb  Trojan.Encoder.3976  20160913
ESET-NOD32  a variant of Win32/Filecoder.Locky.H  20160913
Emsisoft  Trojan.Ransom.Locky.AA (B)  20160913
F-Secure  Trojan.Ransom.Locky.AA  20160913
GData  Trojan.Ransom.Locky.AA  20160913
Ikarus  Trojan-Ransom.Locky  20160913
Invincea  trojandropper.win32.sventore.a  20160912
K7AntiVirus  Trojan ( 004f3c581 )  20160913
K7GW  Trojan ( 004f3c581 )  20160913
Kaspersky  HEUR:Trojan.Win32.Generic  20160913
Malwarebytes  Ransom.Locky  20160913
McAfee  RDN/Ransom  20160913
McAfee-GW-Edition  BehavesLike.Win32.Dropper.ch  20160912
eScan  Trojan.Ransom.Locky.AA  20160913
Microsoft  Ransom:Win32/Locky.A  20160913
NANO-Antivirus  Trojan.Win32.Encoder.efyqjj  20160913
Panda  Trj/GdSda.A  20160912
Qihoo-360  Win32/Trojan.Ransom.de3  20160913
Rising  Malware.Generic!fhNw43oaz5J@1 (thunder)  20160913
Sophos  Mal/Generic-S  20160913
Symantec  Ransom.TeslaCrypt  20160913
Tencent  Win32.Trojan.Filecoder.Pjxh  20160913
TrendMicro  Ransom_LOCKY.F116IC  20160913
TrendMicro-HouseCall  Ransom_LOCKY.F116IC  20160913
VBA32  SScope.Malware-Cryptor.Filecoder  20160913
VIPRE  Trojan.Win32.Generic!BT  20160913
ViRobot  Trojan.Win32.Z.Locky.137216.C[h]  20160913

Cabe indicar que si bien el ZEPTO se ubica en la carpèta temporal, y cualquier eliminador de temporales, como el ELISTARA, lo elimina directamente al ser lanzado, el donwloader se lanza desde una clave O4 RUN, por lo que si no se elimina explicitamente, volvería a instalar de nuevo el ZEPTO al reiniciar el ordenador.

Dicha versión del ELISTARA 35.20 que los detecta y elimina, estará disponible en nuestra web a partir del 14.9.2016

saludos

ms, 13-9-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies