FICHERO RECIBIDO CON MALWARE JS.CRISAS (ALIAS BONDAT), YA CONTROLADO POR ELISTARA
Hemos recibido nuevo fichero goivivjnk.js que controlamos ya desde el ELISTARA 33.29
El preanalisis de virustotal ofrece el siguiente informe:
MD5 50980cb3edb2e77bc17982128f0b3fe7
SHA1 d73e49ece2df474880cae858264d84286a69a6bf
SHA256: b9e36bcfa07b9c7f76e2eec59f0181e9693442b1b6f25ffdedf19cd7b8b5d6e9
File name: goivivjnk.js
Detection ratio: 24 / 55
Analysis date: 2016-11-17 09:22:54 UTC ( 2 minutes ago )
0
2
Antivirus Result Update
ALYac Trojan.JS.RBS 20161117
AVware Worm.JS.Bondat.d (v) 20161117
Ad-Aware Trojan.JS.RBS 20161117
AegisLab Troj.Js.Rbs!c 20161117
Arcabit Trojan.JS.RBS 20161117
Avast JS:Agent-DSL [Trj] 20161117
Avira (no cloud) HTML/ExpKit.Gen6 20161117
BitDefender Trojan.JS.RBS 20161117
CAT-QuickHeal JS.Bondat.A 20161117
ESET-NOD32 JS/Bondat.K 20161117
Emsisoft Trojan.JS.RBS (B) 20161117
F-Secure Trojan.JS.RBS 20161117
Fortinet JS/Bondat.V!worm 20161117
GData Trojan.JS.RBS 20161117
Ikarus Worm.JS.Bondat 20161116
Kaspersky Worm.JS.Bondat.et 20161117
McAfee JS/Bondat.i 20161117
McAfee-GW-Edition JS/Bondat.i 20161116
eScan Trojan.JS.RBS 20161117
Microsoft Worm:JS/Bondat.D 20161117
Rising Trojan.ObfusJS/Heur!1.A4CA (classic) 20161117
Symantec JS.Downloader 20161117
Tencent Js.Worm.Bondat.Suea 20161117
VIPRE Worm.JS.Bondat.d (v) 20161117
y en el apartado de COMENTARIOS de del virustotal, vemos:
variante de JSCRISAS (alias Bondat)
controlado a partir de ELISTARA 33.29
www.satinfo.es
Solo cabe recordar que este malware se propaga por pendrive, pero no crea AUTORUN.INF, por lo cual no cabe utilizar el ELIPEN, sino por un BAT que crea en el registro estos O4:
O4 – Startup: Windows Explorer.lnk = C:\Users\LUIS\AppData\Roaming\woalf\dskmon64.exe “C:\Users\LUIS\AppData\Roaming\woalf\goivivjnk.js”
O4 – Global Startup: Windows Explorer.lnk = C:\Users\LUIS\AppData\Roaming\woalf\cmdprocess.exe “C:\Users\LUISI\AppData\Roaming\woalf\goivivjnk.js”
y utiliza para lanzarlo ficheros EXE que son copias del WSCRIPT.EXE S.O. con nombres aleatorios, como:
amdupdate.exe
amdmgr32.exe
cmdprocess.exe
dllupdater.exe
dskmon64.exe
hpmgr.exe
hpmon64.exe
hpproc.exe
hpsys.exe
intelhost.exe
mshost64.exe
msupdater32.exe
tcpmgr.exe
tcpproc.exe
tcpprocess64.exe
udpsys.exe
udpmonitor64.exe
winmonitor.exe
etc…
que logicamente no son malwares, y solo cabe eliminarlos para evitar duplicidades.
El ELISTARA detecta y elimina los .js que lanza desde las claves de Inicio indicadas, con lo que se elimina el malware, por cadenas, de diferente nombre en cada infección, por lo que no cabe eliminarlo de otra manera.
Afortunadamente ya los controla tanto McAfee como Kaspersky, además de nuestro ELISTARA, por lo que el usuario (cuyo ISP es de una Universidad de Mexico) no debe usar nuestros AV, sino alguno de los que no lo detectan, como vemos por virusTotal que hay, entre otros, los siguientes conocidos:
F-Prot, Malwarebytes, Panda, SUPERAntiSpyware, Sophos, TrendMicro, etc
Dicho malware lo hemos recibido normalmente de Sudamertica, empezando por Colombia, y alcanzando solo paises colindantes, debido a su limitado sistema de propagación via pendrive.
Actualmente la versión del ELISTARA que estamos haciendo hoy es la 35.64,mientras que esta variante ya la controlamos desde la 33.29, del 5 de Noviembre del año pasado, o sea de hace mas de 1 año !
Aparte de lo indicado, cabe decir que :
– Queda residente.
– (oculta carpetas y ficheros, y genera links con sus nombres)
– El nombre de la carpeta y de los ficheros, varia en cada infección
Sirva lo comentado para conocimiento de los usuarios que lo puedan estar sufriendo, saber a qué atenerse
saludos
ms, 17-11-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.