Y PELEANDONOS CON EL DRIDEX QUE COMENTABAMOS EN LA ULTIMA NOTICIA AL RESPECTO, ALGO HEMOS GANADO

Ya comentamos recientemente información sobre el peligroso DRIDEX en

A VUELTAS CON EL DRIDEX, UNO DE LOS MÁS SOFISTICADOS TROYANOS LADRON DE CUENTAS CORRIENTES

Y hoy, a partir del ELISTARA 36.98 de hoy pasamos a controlar un poco mas estos dichosos DRIDEX, al menos la variante que nos ha llegado este fin de semana, que tras ejecutar el EXE malware, lo cambia por una aplicación de Microsoft y lanzan dos DLL diferentes que pasamos a controlar a partir del ELISTARA 36.98 de hoy

Aparte de lanzar el ELISTARA, se debe complementar su acción arrancando en MODO SEGURO y eliminando las dos carpetas “raras” sitas en Datos de PROGRAMA y en WINSYS, además del link de la carpeta de inicio:

EJEMPLO:

%WinIni%\ Ruhzv.lnk -> “%Datos de Programa%\ 8Jk10v\ WerFault.exe” (fichero malicioso)

%Datos de Programa%\ 8Jk10v\ WerFault.exe
%Datos de Programa%\ 8Jk10v\ wer.dll
%WinSys%\ 4113\ perfmon.exe
%WinSys%\ 4113\ credui.dll

El EXE que crea sustituyendo al inicial del malware, que se autoborra, parece ser una copia de uno de los EXE de Microsoft existente en el Sistema:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“Ruhzv”=””%Datos de Programa%\ 8Jk10v\ WerFault.exe””
El preanalisis del fichero malicioso de este caso, ofrece el siguiente informe:

MD5 1a18e844222a43381839d2fa95493ee3
SHA1 4966a81a2ec033649e5f1dd3bafd1788478bfde8
Tamaño del fichero 116.0 KB ( 118784 bytes )
SHA256:
c7dc1e2d1dbda6e287675160f1e96f6514b8a6f10017a1e4b76c7591c3785e97
Nombre:
8yfh4gfff.exe
Detecciones:
44 / 61
Fecha de análisis:
2017-06-07 08:10:28 UTC ( hace 6 minutos )

Informe global actual de VirusTotal:
total.com/es/file/c7dc1e2d1dbda6e287675160f1e96f6514b8a6f10017a1e4b76c7591c3785e97/analysis/1496823028/

Dicha versión del ELISTARA 36.98 que lo detecta y elimina, ya está disponible en nuestra web.
Recordemos las acciones complementarias indicadas al principio, arrancando en MODO SEGURO y demás

saludos

ms, 7-6-2017