NUEVA VARIANTE DE UN DOWNLOADER DEL RANSOMWARE ZEPTO QUE LLEGA A TRAVES DE UN MAIL EN INGLES

Publicado el 16 septiembre 2016 ¬ 10:57 amh.mscComentarios desactivados en NUEVA VARIANTE DE UN DOWNLOADER DEL RANSOMWARE ZEPTO QUE LLEGA A TRAVES DE UN MAIL EN INGLES

A través de un fichero .js contenido en un ZIP anexado al mail que indicamos a continuación, se recibe un downloader que nos ha descargado un ransomware ZEPTO , indicado al final, que tambien pasamos a controlar, junto con este downloader, a partir del ELISTARA 35.23 de hoy

 

MAIL MALICIOSO
_______________

Asunto: Booking confirmation
De: “Margarita Stout” <Stout.5496@z-squared-va.com>
Fecha: 16/09/2016 6:43
Para: <destinatario>

Hi there <destinatario>, it’s Margarita. I booked the ticket for you yesterday.
See the attachment to confirm the booking.
King regards,

Margarita Stout

ANEXADO FICHERO ZIP
__________________
FIN MAIL MALICIOSO

 

El preanalisis de virustotal del downloader .js recibido en el ZIP anexado al mail, es el siguiente:

MD5 73947f377db0f38ae93953a6676ef2a9
SHA1 03ade073b3dba41cdceeddce6769cf16d0339ad0
File size 61.2 KB ( 62679 bytes )
SHA256:  5579d7b6c1397f2eda1d99bc8ced784ded5f1a4e384e883e62f0dc02ce5846f7
File name:  Booking confirmation ~896FE0~.js
Detection ratio:  11 / 55
Analysis date:  2016-09-16 07:50:41 UTC ( 49 minutes ago )
0
1

Antivirus  Result  Update
Avira (no cloud)  JS/Dldr.Krypt.915164  20160916
Cyren  JS/Locky.AZ4!Eldorado  20160916
ESET-NOD32  JS/TrojanDownloader.Nemucod.AYE  20160916
F-Prot  JS/Locky.AZ4!Eldorado  20160916
Fortinet  JS/Agent.3DCC!tr  20160916
Ikarus  Trojan-Ransom.Script.Locky  20160916
Kaspersky  Trojan-Downloader.JS.Agent.mli  20160916
Sophos  JS/DwnLdr-OPS  20160916
Symantec  JS.Downloader  20160916
Tencent  Js.Trojan.Raas.Auto  20160916
TrendMicro-HouseCall  JS_GEN.F299E00IF16  20160916
y como hemos indicado, la ejecución de dicho downloader nos ha descargado e instalado una DLL que es un ransomware ZEPTO (sucesor del Locky), que tambien pasamos a controlar, y cuyo preanalisis de virustotal ofrece el siguiente informe:

MD5 f33a615197981f311b87968074743182
SHA1 10ef3e85db0ff3c22771f07e9dc5b9601be559a7
File size 186.5 KB ( 190976 bytes )
SHA256:  93586226e27ce30041b88d4ffa88947ded45bfda8a78dae62cede288af704a92
File name:  811KO0sQh.dll
Detection ratio:  8 / 56
Analysis date:  2016-09-15 22:36:18 UTC ( 10 hours, 8 minutes ago )
0
1

Antivirus  Result  Update
CrowdStrike Falcon (ML)  malicious_confidence_100% (D)  20160725
DrWeb  Trojan.Encoder.6018  20160915
Invincea  trojan.win32.dorv.c!rfn  20160912
Kaspersky  UDS:DangerousObject.Multi.Generic  20160915
McAfee-GW-Edition  BehavesLike.Win32.Ramnit.ch  20160915
Qihoo-360  HEUR/QVM39.1.0000.Malware.Gen  20160915
Symantec  Heur.AdvML.B  20160915
Tencent  Win32.Trojan.Raas.Auto  20160915

Dicha versión del ELISTARA 35.23 que los detecta y elimina,e stará disponible en nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 16-9-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies