VARIANTE DE MALWARE JS.CRISAS (alias Bondat) que infecta pendrives y se ejecuta por un BAT sobre fichero en carpeta oculta

Se trata de una variante de las muchas que nos han llegado de este JS.CRISAS, desde Sudamerica y Mexico, empezando el primero hace mas de 1 año en Colombia.

No crea AUTORUN.INF en los pendrives, por lo que no cabe utilizar el ELIPEN para este tipo de infecciones de pendrives.

Se instala por la ejecución de un BAT que lanza un wscript.exe sobre un .JS de carpeta oculta, como por ejemplo:

cd .Trashes
start wscript.exe “807\cuvdswi.js”
exit

siendo las carpetas Trashes y dentro de ella la de 807 variables y ocultas, conteniendo el fichero tambien variable cuvdswi.js que es el que pasamos a controlar y eliminar

El preanalisis de virustotal sobre dicho fichero, ofrece el siguiente informe:

MD5 f0fd6938a90627813b8118bfa8918355
SHA1 077facabe35b2b80c887343acd2f5a51eb398bf7
File size 79.4 KB ( 81301 bytes )
CSHA256:  36a3192fab6aa743904804fdbd35ecddc4c38b6c35bbedd3cf2a0423c4574212
File name:  cuvdswi.js
Detection ratio:  13 / 54
Analysis date:  2016-11-28 10:11:06 UTC ( 3 minutes ago )
0
1

Antivirus  Result  Update
AegisLab  Html.Expkit.Gen6!c  20161128
AhnLab-V3  JS/Downloader  20161128
Antiy-AVL  Trojan/Generic.ASVCS3S.403  20161128
Avast  Other:Malware-gen [Trj]  20161128
Avira (no cloud)  HTML/ExpKit.Gen6  20161128
ESET-NOD32  JS/Bondat.AN  20161128
Fortinet  Malware_Generic.P0  20161128
K7AntiVirus  Trojan ( 0001140e1 )  20161128
K7GW  Trojan ( 0001140e1 )  20161128
Kaspersky  Worm.JS.Bondat.ez  20161128
Qihoo-360  virus.js.gen.1  20161128
Rising  Trojan.ObfusJS/Heur!1.A4CA-Rits1ZL8qEP (cloud)  20161128
Tencent  Js.Worm.Bondat.Edxl  20161128
Dicha versión del ELISTARA 35.71 que lo detecta y elimina, estará disponible en nuestra web a partir del 29-11-2016
saludos

ms, 28-11-2016