MALWARE DRIDEX.CY QUE CAMBIA DE FICHERO EN CADA REINICIO
Un malware dificil de controlar, ya que en cada reinicio cambia de nombre de fichero y de MD5 … además de que requiere que la eliminación sea hecha en MODO SEGURO por regenerarse si se está en MODO NORMAL, al estar el malware en memoria residente.
Si bien ya entendemos que estamos ofreciendo la detección de una sola de las muchas variantes de dicho malware, informamos del mismo para que se configure la heuristica del VirusScan a nivel MUY ALTO, para asi lograr detectar las variantes de lo conocido, lo cual no sería controlado sin método heuristico al máximo.
El preanalisis de virustotal ofrece el siguiente informe:
MD5 802eb0928efd197e78afb1c6a5aa1915
SHA1 8881a514f5db6049a593c43a191b375aa1a17f06
Tamaño del fichero 117.8 KB ( 120656 bytes )
SHA256: 6a1cd455f09b4317a52c34527c2b5ab76d7e8735464a1d91811e1dbc0bce3d80
Nombre: 802EB0928EFD197E78AFB1C6A5AA1915
Detecciones: 23 / 61
Fecha de análisis: 2017-03-16 08:50:16 UTC ( hace 3 horas )
https://www.virustotal.com/es/file/6a1cd455f09b4317a52c34527c2b5ab76d7e8735464a1d91811e1dbc0bce3d80/analysis/1489654216/
Y otras variantes obtenidas en los siguientes reinicios, ofrecen los siguientes MD5:
“2C66FAF575250BFF1D2769EEAFDDCBF1” -> ATL(1).DLL 491520
“4F39708FAC5ACC077434BF90121AEC20” -> ATL(2).DLL 524288
“4D947D11320D4AE3F29ACC728940B58D” -> MFC42u.dll 520192
Pasamos a enviar muestras del mismo a McAfee para que añadan su control en las proximas versiones de su antivirus.
Dicha versión del ELISTARA 36.45 que lo detecta y elimina, estará disponible en nuestra web a partir del 17-3 prox
saludos
ms, 17-3-2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.