NUEVA FAMILIA DE MALWARES QUE IDENTIFICAMOS COMO MALWARE MSTCKZ (DLDR-DR-DLL)

Publicado el 12 julio 2016 ¬ 9:41 amh.mscComentarios desactivados en NUEVA FAMILIA DE MALWARES QUE IDENTIFICAMOS COMO MALWARE MSTCKZ (DLDR-DR-DLL)

A través de la ejecución de un script con extensión .SWF (que llaman Downloader / Nemucod / JS.Swabfex) se descarga un EXE que instala una DLL , todo lo cual pasamos a controlar a partir del ELISTARA 34.95 de hoy

El preanalisis de virustotal del DLDR ofrece el siguiente informe:

MD5 63e2c2087f03bdd8dbc06f40d8b3e538
SHA1 31ae9f7f545f107333f45c6b23507db3f50d28b7
Tamaño del fichero 26.8 KB ( 27451 bytes )
SHA256:  02824ca8df7d8e3daf7f74ba056062c20f2d3c9c1d49629bc128361c0c6946ff
Nombre:  document1553.wsf
Detecciones:  24 / 55
Fecha de análisis:  2016-07-12 07:17:44 UTC ( hace 1 minuto )
0
2

Antivirus  Resultado  Actualización
AVG  JS/Downloader.Agent  20160711
Ad-Aware  JS:Trojan.JS.Downloader.KB  20160712
AhnLab-V3  JS/Obfus  20160711
Arcabit  JS:Trojan.JS.Downloader.KB  20160712
Avast  Other:Malware-gen [Trj]  20160712
Avira (no cloud)  JS/Dldr.Agent.785843  20160712
BitDefender  JS:Trojan.JS.Downloader.KB  20160712
Cyren  JS/Locky.M3!Eldorado  20160712
ESET-NOD32  JS/TrojanDownloader.Nemucod.AIQ  20160712
Emsisoft  JS:Trojan.JS.Downloader.KB (B)  20160712
F-Prot  JS/Locky.M3!Eldorado  20160712
F-Secure  JS:Trojan.JS.Downloader.KB  20160712
Fortinet  JS/Nemucod.AIQ!tr.dldr  20160712
GData  JS:Trojan.JS.Downloader.KB  20160712
Ikarus  Trojan.Script  20160711
Kaspersky  HEUR:Trojan-Downloader.Script.Generic  20160712
McAfee  JS/Nemucod.kr  20160712
McAfee-GW-Edition  JS/Nemucod.kr  20160711
eScan  JS:Trojan.JS.Downloader.KB  20160712
Microsoft  TrojanDownloader:JS/Swabfex.C  20160712
Qihoo-360  virus.js.gen.65  20160712
Sophos  Troj/JSDldr-NS  20160712
Symantec  JS.Downloader  20160712
Tencent  Js.Trojan-downloader.Nemucod.Wqde  20160712

Al que identificamos como MALWARE MSTCKZ DLDR

A continuación se descarga un EXE, que pasamos a controlar como MALWARE MSTCKZ DR, y cuyo preanalisis de virustotal ofrece el siguiente informe:

MD5 1b7021bfe0dbf6a364d4a47b9c676a7b
SHA1 1c9151a22a8b5c3228f56a48bf36ad691955c024
Tamaño del fichero 252.0 KB ( 258048 bytes )

SHA256:  fc6dfc56481a694971fc1b80ad20384d92020950ffc4d18698b9014817f7deb0
Nombre:  1b7021bfe0dbf6a364d4a47b9c676a7b.exe
Detecciones:  27 / 55
Fecha de análisis:  2016-07-11 12:16:12 UTC ( hace 19 horas, 14 minutos )
0
2

Antivirus  Resultado  Actualización
ALYac  Trojan.GenericKD.3391130  20160711
AVG  Downloader.Generic14.BBFJ  20160711
AVware  Trojan.Win32.Generic!BT  20160711
Ad-Aware  Trojan.GenericKD.3391130  20160711
AhnLab-V3  Trojan/Win32.Fareit.N2043352756  20160711
Arcabit  Trojan.Generic.D33BE9A  20160711
Avast  Win32:Trojan-gen  20160711
Avira (no cloud)  TR/Crypt.Xpack.etli  20160711
BitDefender  Trojan.GenericKD.3391130  20160711
Cyren  W32/S-e2e07e9d!Eldorado  20160711
DrWeb  Trojan.Siggen6.58358  20160711
ESET-NOD32  Win32/TrojanDownloader.Agent.CFH  20160711
Emsisoft  Trojan.GenericKD.3391130 (B)  20160711
F-Prot  W32/S-e2e07e9d!Eldorado  20160711
F-Secure  Trojan.GenericKD.3391130  20160711
Fortinet  Malware_Generic.P0  20160711
GData  Trojan.GenericKD.3391130  20160711
Kaspersky  Trojan-Downloader.Win32.Agent.wulso  20160711
McAfee  Artemis!1B7021BFE0DB  20160711
McAfee-GW-Edition  BehavesLike.Win32.PWSZbot.dh  20160711
eScan  Trojan.GenericKD.3391130  20160711
Microsoft  TrojanDownloader:Win32/Talalpek.A  20160711
NANO-Antivirus  Trojan.Win32.Siggen6.eegydj  20160711
Sophos  Mal/Generic-S  20160711
Symantec  Trojan.Gen  20160711
VIPRE  Trojan.Win32.Generic!BT  20160711
nProtect  Trojan.GenericKD.3391130  20160711

y por último este EXE descarga e instala una DLL, que tambien controlamos con el mismo nombre del malware MSTCKZ, cuyo preanalisis de virustotal ofrece le siguiente informe:

MD5 21dd453afcc5c45b8417f5fbe3be48d6
SHA1 4dfeebd16bd97b089fc8cf85c380adccfcbc901e
Tamaño del fichero 116.0 KB ( 118784 bytes )
SHA256:  950efec70136288a874831c7db2730d171e8e80343610323819da5e0d95d5da8
Nombre:  21dd453a.dll
Detecciones:  2 / 55
Fecha de análisis:  2016-07-12 07:34:19 UTC ( hace 1 minuto )
0
1

Antivirus  Resultado  Actualización
Baidu  Win32.Trojan.WisdomEyes.151026.9950.9998  20160711
Qihoo-360  HEUR/QVM27.0.0000.Malware.Gen  20160712

Como puede verse el paso a la DLL final aun es muy poco detectada por los actuales AV (solo 2 de 55), por lo que enviamos muestra a los fabricantes de nuestros antivirus, MCAfee y Kaspersky, para que añadan su detección en la proximas actualizaciones de sus AV.

saludos

ms, 12-7-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies