Nueva variante del backdoor Kirts, que aparte de hacer lo tipico, ademas infecta exes

El conocido backdoor Kirts que , normalmente, :

– Queda residente. (uno o mas procesos activos)
– Se coloca en la lista de Autorizaciones del CortaFuegos de Windows.
– Infecta Pendrives
– Se actualiza periodicamente

Como la variante “normal” de hoy, que ya detectan 35 antivirus en virustotal,

BackDoor.Kirts (35 DETECCIONES)

Ahora le ha salida un “compañero” infector de exes, el cual, ademas de hacer lo propio, infecta ejecutables, siendo detectado actualmente por 24 AV del virustotal

Backdoor Kirts infector de exes (24 DETECCIONES)

Y los ficheros infectados tienen un añadido al final de 4 KB , aparte de pequeñas modificaciones al principio, para adaptar la cabecera a nuevo tamaño

FICHERO INFECTADO POR EL VIRUS DEL “KIRTS INFECTOR” EN EL FICHERO NOTEPAD.EXE (41 DETECCIONES)

 

FICHERO INFECTADO POR EL VIRUS DEL “KIRTS INFECTOR” EN EL FICHERO REGEDIT.EXE (41 DETECCIONES)

Si bien parece que hay algun error en la infección pues se detecta un error en la ejecución de los infectados, aunque otros quedan operativos, como el del próximo ejemplo:

REGSHOT.VXE (40 DETECCIONES)

Sobre los ficheros infectados en cuestión, parece ser que se trata de generadores de spam que envian mails sobre actos pornograficos del usuario, pidiendo rescate para no no divulgarlos:

Es conocido como PHORPIEX, cuya descripción puede verse en:

https://www.pcrisk.es/guias-de-desinfeccion/9433-phorpiex-trik-worm

 

A partir del ELISTARA 42.98 de hoy pasaremos a detectarlos a todos ellos, recordando que es importante arrancar en MODO SEGURO para que no haya ningun residente que pueda incordiar, asi como verificar los pendrives, que tambien son afectados por esta familia del Kirts…

Proximas variantes las añadiremos a nuevas versiones del ELISTARA, como siempre.

saludos

ms, 20-2-2020

 

 

ANEXO :

Sobre el Tema de mails spam-porno que se indica en el enlace a la información del PHORPIEX, nos complace ofrecer la última noticia que publicamos en su día al respecto en nuestro blog, para recordar los detalles al respecto:

NUEVA LLEGADA DE MAILS AMENAZANDO PROPAGAR VIDEOS PERSONALES CAPTURADOS POR EL MALWARE INSTALADO AL VISITAR WEB PORNO

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies