Y NUEVA HISTORIA DEL BACKDOOR KIRTS QUE SE ACTUALIZA Y A VECES DESCARGA RANSOMWARE CERBER
Ya es conocido que los Backdoors KIRTS se van actualizando a diario, y hoy nos encontramos que ademas de las nuevas variantes de los mismos, tambien nos han generado algun que otro Ransomware CERBER, que antes entraban por exploit Angler y ahora pueden hacerlo por descargas de los indicados KIRTS
Los hashes de unos cuantos KIRTS recibidos ayer, ofrecen estos datos:
“2C2AB23E22B275D674263C471E52C50E86DDE4F3” -> 3fca0e4d.exe 546240
“A4DB7B083D471EE75430497C5DBA4B48C9B8541E” -> 5bef93bc.exe 308672
“805657D541438F1426D56F9B487CFB59B75CE47D” -> windrv(21).exe 308672
“3DCB7499A2EF144F527EEF7ED99697340D891EFE” -> winmgr(38).exe 230848
“F80B7E6B4176770F8A930E8F2D7A2A2CAFF4DE90” -> winmgr(39).exe 234944
y de ellos, el preanalisis de virustotal del primero, presenta este informe:
MD5 3fca0e4daaf613c5513a93505402ee74
SHA1 2c2ab23e22b275d674263c471e52c50e86dde4f3
Tamaño del fichero 533.4 KB ( 546240 bytes )
SHA256: 0a114e984304206fd3a8b7ef21f46964447c627ba93588cef3720918e80ed78b
Nombre: 3fca0e4d.exe
Detecciones: 31 / 54
Fecha de análisis: 2016-07-08 07:36:08 UTC ( hace 5 minutos )
0
1
Antivirus Resultado Actualización
ALYac Trojan.GenericKD.3383588 20160708
AVG Atros3.BWLH 20160708
AVware Trojan.Win32.Generic!BT 20160708
Ad-Aware Trojan.GenericKD.3383588 20160708
AhnLab-V3 Backdoor/Win32.Kirts.N2042107397 20160708
Arcabit Trojan.Generic.D33A124 20160708
Avast Win32:Malware-gen 20160708
Avira (no cloud) TR/Dropper.MSIL.ssfu 20160708
BitDefender Trojan.GenericKD.3383588 20160708
Comodo TrojWare.MSIL.Agent.GLE 20160708
DrWeb Trojan.Inject2.24815 20160708
ESET-NOD32 a variant of MSIL/Kryptik.GOQ 20160708
Emsisoft Trojan.GenericKD.3383588 (B) 20160708
F-Secure Trojan.GenericKD.3383588 20160708
Fortinet MSIL/Kryptik.GOD!tr 20160708
GData Trojan.GenericKD.3383588 20160708
Ikarus Trojan.MSIL.Crypt 20160708
K7AntiVirus Trojan ( 004f36491 ) 20160708
K7GW Trojan ( 004f36491 ) 20160708
Malwarebytes Worm.IRCBot 20160708
McAfee Trojan-FIGV!3FCA0E4DAAF6 20160708
McAfee-GW-Edition Artemis!Trojan 20160708
eScan Trojan.GenericKD.3383588 20160708
Microsoft Backdoor:Win32/Kirts.A 20160708
NANO-Antivirus Trojan.Win32.Inject2.eeftkd 20160708
Panda Trj/GdSda.A 20160707
Qihoo-360 HEUR/QVM03.0.0000.Malware.Gen 20160708
Sophos Mal/Generic-S 20160708
Symantec Heur.AdvML.C 20160708
TrendMicro TROJ_GEN.R03EC0DG716 20160708
VIPRE Trojan.Win32.Generic!BT 20160708
Estos ya los controlamos desde el ELISTARA 34.92 de ayer, y hoy, al descargar dos CERBER, añadimos al ELISTARA 34.93 de hoy dichas nuevas detecciones
Y los hashes SHA1 de dichos nuevos CERBER son:
“9B2D9056D57E72DC208F15C673F18A4702623D67” -> 561b26ac.exe 319759
“C0D6CCAD79A50C3A5016F372ED98168A6565BB15” -> 9927589a.exe 203619
Y el preanalisis de virustotal
MD5 561b26ac2f2673c840cc60f175b03814
SHA1 9b2d9056d57e72dc208f15c673f18a4702623d67
Tamaño del fichero 312.3 KB ( 319759 bytes )
SHA256: 44f985175f3c0406b5586d83228bfb0000c40b0040a79fbad874f809aae03fdb
Nombre: 2[1].exe
Detecciones: 9 / 51
Fecha de análisis: 2016-07-08 07:02:30 UTC ( hace 43 minutos )
0
1
Antivirus Resultado Actualización
AVG Generic_r.KZQ 20160708
AhnLab-V3 Trojan/Win32.Cerber.C1496875 20160708
Avast Win32:Malware-gen 20160708
Baidu Win32.Trojan.WisdomEyes.151026.9950.9966 20160706
DrWeb Trojan.Encoder.4939 20160708
ESET-NOD32 a variant of Win32/Injector.DBQX 20160708
McAfee Ransomware-FNL!561B26AC2F26 20160708
McAfee-GW-Edition BehavesLike.Win32.FakeAlertSecurityTool.fh 20160708
Panda Trj/Genetic.gen 20160707
Dicha versión del ELISTARA 34.93 que los detecta y elimina,e stará disponible en nuestra web a partir de las 15 h CEST de hoy
saludos
ms, 8-7-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.