NUEVA VARIANTE DE BACKDOOR KIRTS. INFECTA PENDRIVES Y SE ACTUALIZA DESCARGANDO OTROS MALWARES (INCLUYENDO CERBER 4 !)

NUEVA VARIANTE DE BACKDOOR KIRTS. INFECTA PENDRIVES Y SE ACTUALIZA DESCARGANDO OTROS MALWARES (INCLUYENDO CERBER 4 !)

Otra variante de este malware pasa a ser controlado a partir del ELISTARA 35.94 de hoy

– Dicho malware se actualiza periodicamente descargando variantes de las familias Malware.GalloE, Ransom.Cerber Cerber3 o Cerber4, Boaxxe.BE, etc

– Crea 4 Procesos activos “windrv.exe”, “winsvc.exe” y 2 “winmgr.exe”)

– Infecta Pendrive, creando las siguientes lineas, enmascaradas por otras inutiles:

[autorun]
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shellexecute=Manager.js
UseAutoPlay=1

– Sobrescribe ficheros del sistema…
(salta la “Protección de Archivos de Windows”)

EL preanalisis de virustotal ofrece el siguiente informe:

MD5 44de4c4bf73940f531666535cb57f77b
SHA1 9cb596817e2c3f0bee94ba1ba243ac6349291f0c
File size 217.9 KB ( 223168 bytes )
SHA256: 9673e3a991a7cf933bfaf8fa2cc7c53ac56f73d65ad0042f52270aafcefd6992
File name: winmgr(148).exe
Detection ratio: 10 / 57
Analysis date: 2017-01-04 09:27:24 UTC ( 5 minutes ago )
0
1

Antivirus Result Update
AhnLab-V3 Trojan/Win32.MSIL.R192269 20170104
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9999 20170104
CrowdStrike Falcon (ML) malicious_confidence_84% (D) 20161024
ESET-NOD32 a variant of MSIL/Injector.QZV 20170104
Invincea backdoor.win32.kirts.a 20161216
K7GW Hacktool ( 655367771 ) 20170104
Kaspersky HEUR:Trojan.Win32.Generic 20170104
McAfee-GW-Edition BehavesLike.Win32.Backdoor.dc 20170104
Qihoo-360 HEUR/QVM03.0.0000.Malware.Gen 20170104
Tencent Win32.Trojan.Falsesign.Pegk 20170104

Dicha versión del ELISTARA 35.94 que lo detecta y elimina, estará disponible en nuestra web a partir del 5-1-2017

saludos

ms, 4-1-2017