Y NUEVA HISTORIA DEL BACKDOOR KIRTS QUE SE ACTUALIZA Y A VECES DESCARGA RANSOMWARE CERBER

Ya es conocido que los Backdoors KIRTS se van actualizando a diario, y hoy nos encontramos que ademas de las nuevas variantes de los mismos, tambien nos han generado algun que otro Ransomware CERBER, que antes entraban por exploit Angler y ahora pueden hacerlo por descargas de los indicados KIRTS

Los hashes de unos cuantos KIRTS recibidos ayer,  ofrecen estos datos:

“2C2AB23E22B275D674263C471E52C50E86DDE4F3” -> 3fca0e4d.exe  546240
“A4DB7B083D471EE75430497C5DBA4B48C9B8541E” -> 5bef93bc.exe  308672
“805657D541438F1426D56F9B487CFB59B75CE47D” -> windrv(21).exe  308672
“3DCB7499A2EF144F527EEF7ED99697340D891EFE” -> winmgr(38).exe  230848
“F80B7E6B4176770F8A930E8F2D7A2A2CAFF4DE90” -> winmgr(39).exe  234944

y de ellos, el preanalisis de virustotal del primero, presenta este informe:

MD5 3fca0e4daaf613c5513a93505402ee74
SHA1 2c2ab23e22b275d674263c471e52c50e86dde4f3
Tamaño del fichero 533.4 KB ( 546240 bytes )
SHA256:  0a114e984304206fd3a8b7ef21f46964447c627ba93588cef3720918e80ed78b
Nombre:  3fca0e4d.exe
Detecciones:  31 / 54
Fecha de análisis:  2016-07-08 07:36:08 UTC ( hace 5 minutos )
0
1
Antivirus  Resultado  Actualización
ALYac  Trojan.GenericKD.3383588  20160708
AVG  Atros3.BWLH  20160708
AVware  Trojan.Win32.Generic!BT  20160708
Ad-Aware  Trojan.GenericKD.3383588  20160708
AhnLab-V3  Backdoor/Win32.Kirts.N2042107397  20160708
Arcabit  Trojan.Generic.D33A124  20160708
Avast  Win32:Malware-gen  20160708
Avira (no cloud)  TR/Dropper.MSIL.ssfu  20160708
BitDefender  Trojan.GenericKD.3383588  20160708
Comodo  TrojWare.MSIL.Agent.GLE  20160708
DrWeb  Trojan.Inject2.24815  20160708
ESET-NOD32  a variant of MSIL/Kryptik.GOQ  20160708
Emsisoft  Trojan.GenericKD.3383588 (B)  20160708
F-Secure  Trojan.GenericKD.3383588  20160708
Fortinet  MSIL/Kryptik.GOD!tr  20160708
GData  Trojan.GenericKD.3383588  20160708
Ikarus  Trojan.MSIL.Crypt  20160708
K7AntiVirus  Trojan ( 004f36491 )  20160708
K7GW  Trojan ( 004f36491 )  20160708
Malwarebytes  Worm.IRCBot  20160708
McAfee  Trojan-FIGV!3FCA0E4DAAF6  20160708
McAfee-GW-Edition  Artemis!Trojan  20160708
eScan  Trojan.GenericKD.3383588  20160708
Microsoft  Backdoor:Win32/Kirts.A  20160708
NANO-Antivirus  Trojan.Win32.Inject2.eeftkd  20160708
Panda  Trj/GdSda.A  20160707
Qihoo-360  HEUR/QVM03.0.0000.Malware.Gen  20160708
Sophos  Mal/Generic-S  20160708
Symantec  Heur.AdvML.C  20160708
TrendMicro  TROJ_GEN.R03EC0DG716  20160708
VIPRE  Trojan.Win32.Generic!BT  20160708

Estos ya los controlamos desde el ELISTARA 34.92 de ayer, y hoy, al descargar dos CERBER, añadimos al ELISTARA 34.93 de hoy dichas nuevas detecciones

Y los hashes SHA1 de dichos nuevos CERBER son:

“9B2D9056D57E72DC208F15C673F18A4702623D67” -> 561b26ac.exe  319759
“C0D6CCAD79A50C3A5016F372ED98168A6565BB15” -> 9927589a.exe  203619

Y el preanalisis de virustotal

MD5 561b26ac2f2673c840cc60f175b03814
SHA1 9b2d9056d57e72dc208f15c673f18a4702623d67
Tamaño del fichero 312.3 KB ( 319759 bytes )
SHA256:  44f985175f3c0406b5586d83228bfb0000c40b0040a79fbad874f809aae03fdb
Nombre:  2[1].exe
Detecciones:  9 / 51
Fecha de análisis:  2016-07-08 07:02:30 UTC ( hace 43 minutos )
0
1

Antivirus  Resultado  Actualización
AVG  Generic_r.KZQ  20160708
AhnLab-V3  Trojan/Win32.Cerber.C1496875  20160708
Avast  Win32:Malware-gen  20160708
Baidu  Win32.Trojan.WisdomEyes.151026.9950.9966  20160706
DrWeb  Trojan.Encoder.4939  20160708
ESET-NOD32  a variant of Win32/Injector.DBQX  20160708
McAfee  Ransomware-FNL!561B26AC2F26  20160708
McAfee-GW-Edition  BehavesLike.Win32.FakeAlertSecurityTool.fh  20160708
Panda  Trj/Genetic.gen  20160707

Dicha versión del ELISTARA 34.93 que los detecta y elimina,e stará disponible en nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 8-7-2016