NUEVA VARIANTE DE TROJAN COMROKI QUE PASAMOS A CONTROLAR CON ELISTARA

Publicado el 22 febrero 2017 ¬ 10:35 amh.mscComentarios desactivados en NUEVA VARIANTE DE TROJAN COMROKI QUE PASAMOS A CONTROLAR CON ELISTARA

Descargado por un downloader ya es un viejo conocido que, en su monitorización, vemos que:
– Queda residente.
– Se añade en la lista de Autorizaciones del CortaFuegos de Windows.
– Oculta ficheros del sistema.

Su ejecución descarga otro downloader que actualiza la versión instalada de dicho Comroki y se instala en el equipo con el nombre de un ficheros de windows, como:

%Datos de Programa%\ CSRSS.EXE (+s+h+r)
%Datos de Programa%\ RUNDLL32.EXE (+s+h+r)
%Datos de Programa%\ SVCHOST.EXE (+s+h+r)
%Datos de Programa%\ System32\ CSRSS.EXE (+s+h+r)
%Datos de Programa%\ System32\ SVCHOST.EXE (+s+h+r)
%Datos de Programa%\ System32\ RUNDLL32.EXE (+s+h+r)
%WinSys%\ RUNDLL32.EXE (sobrescribe al original que exista en dicha ruta)

Nos han llegado dos ficheros iguales, aparcados por la heuristica del ELISTARA, con los siguientes nombres:

SVCHOST.EXE.Muestra EliStartPage v36.27
RUNDLL32.EXE.Muestra EliStartPage v36.27

Lo pasamos a controlar a partir del ELISTARA 36.28 de hoy

El preanalisis de virustotal ofrece el siguiente informe:

MD5 79c0e8961a732ed8a72b3e37110f0483
SHA1 cdff44b5f382469e3da84bbeba29247eb154825e
Tamaño del fichero 132.0 KB ( 135168 bytes )
SHA256:
a619f9953939c66ffa5d6f1b6b927eda996332a07b63fa46e896daf5377760f7
Nombre:
RUNDLL32.EXE.Muestra EliStartPage v36.27
Detecciones:
32 / 58
Fecha de análisis:
2017-02-22 08:53:37 UTC ( hace 29 minutos )

total.com/es/file/a619f9953939c66ffa5d6f1b6b927eda996332a07b63fa46e896daf5377760f7/analysis/1487753617/

Dicha versión del ELISTARA 36.28 que lo detecta y elimina, estará disponible en nuestra web a partir del 23-2 prox.

saludos

ms, 22-2-2017

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies