NUEVA VARIANTE DE SPYZBOT W QUE PASAMOS A CONTROLAR CON ELISTARA

Publicado el 25 enero 2017 ¬ 10:26 amh.mscComentarios desactivados en NUEVA VARIANTE DE SPYZBOT W QUE PASAMOS A CONTROLAR CON ELISTARA

Otra variante de esta familia de cazapasswords bancarios pasa a ser controlado a partir del ELISTARA 36.08 de hoy

Como otros de esta familia , queda residente en proceso no visible pero se delata por causar dobles acentos en las palabras acentuadas, lo cual no ocurre en paises de habla inglesa, claro.

En este caso hemos visto que llega en un ZIP anexado a un EMail, el cual contiene un documento de Word con Macros, que si se abre con la protección de Mcaros desactivada, ejecuta la macro que desencripta el fichero y ejecuta el EXE resultante, el cual instala dicho PWS, y otros complementarios

Cabe indicar que la cadena de detección coincide con la del CERBER 4 , por lo cual no es de extrañar que al pasar el ELISTARA lo detecte como CERBER 4, seguramente por usar igual motor de descarga e instalación, aunque luego proceda especificamente como PWS en lugar del conocido ransomware.

El preanalisis de virustotal ofrece el siguiente informe:

MD5 16741407e3bcfe0af5086d9a1b10d861
SHA1 4fd4ae2532ca0a25a438964cb12cf607a0c41a30
File size 411.5 KB ( 421373 bytes )
SHA256: 0af028f93b1dcb1caa4a4c5aa41e74e5ec71c52c939a93f21f3db68add043fcb
File name: cred16gt(10).exe
Detection ratio: 13 / 57
Analysis date: 2017-01-25 09:11:55 UTC ( 7 minutes ago )
0
1

Antivirus Result Update
AegisLab Troj.Ransom.W32.Foreign!c 20170125
AhnLab-V3 Trojan/Win32.Cerber.R194360 20170125
Antiy-AVL Trojan/Win32.AGeneric 20170125
Avast Win32:Malware-gen 20170125
CrowdStrike Falcon (ML) malicious_confidence_69% (W) 20161024
ESET-NOD32 a variant of Win32/Injector.DKGP 20170125
GData Win32.Trojan.Agent.7WU08O 20170125
Invincea trojan.win32.startpage.qs 20170111
Kaspersky Trojan-Ransom.Win32.Foreign.njnr 20170125
McAfee Artemis!16741407E3BC 20170125
McAfee-GW-Edition BehavesLike.Win32.AdwareOutBrowse.gc 20170124
Sophos Troj/Gozi-FY 20170125
Symantec ML.Relationship.HighConfidence [Ransom.Cryptodefense] 20170124

Dicha versión del ELISTARA 36-08 que lo descarga y elimina, estará disponible en nuestra web a partir del 26-1-2017
saludos

ms, 25-1-2017

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Keylogger, Virus,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies