TERMINADA DE MONITORIZAR LA “JOYA” DE HOY, UN MULTIDROPPER QUE SE LAS TRAE !

Una vez hemos visto lo que descargaba o mejor dicho dropaba, ya que lo generaba sin conexion a Internet, pasamos a controlar en lo posible este dichoso Multidropper, si bien la parte de la infección de ejecutables la dejamos a los antivirus, que para esto estan !

Al lanzar dicho Multidropper, genera y ejecuta…

%Datos de Programa%\ cry.exe —–> Spy.ZBot.Z
%Datos de Programa%\ crys.exe —-> Keylogger.Bladabindi.O
%Datos de Programa%\ cush.exe —-> EXE infectado con W32.Ramnit.E
%Datos de Programa%\ Pony.exe —-> No es una App Win32 valida ¿¿¿???
%Datos de Programa%\ server.exe –> Trojan.ShopBot
%Datos de Programa%\ svchost.exe -> Copia del Dropper

Lo peor es la infección del RAMNIT, que deben ser los AV los que limpien los ficheros infectados, si bien ya McAfee y Kaspersky lo controlan

Y sobre el MULTIDROPPER propiamente dicho, virustotal ofrece el siguiente informe:
MD5 edc94982e4b857a58947c235acb762f6
SHA1 bc9d26c387cc938c3c50f2a14042fbf6524f3b9f
File size 2.5 MB ( 2663521 bytes )
SHA256: ac3ade715adafa5784c43f407843bf8889e7c97c4e62239c1b22f07aab2920c9
File name: 55.exe
Detection ratio: 40 / 57
Analysis date: 2017-01-11 15:14:47 UTC ( 35 minutes ago )
0
2

Antivirus Result Update
ALYac Trojan.GenericKD.4145717 20170111
AVG Atros4.BVCT 20170111
AVware Trojan.Win32.Generic!BT 20170111
Ad-Aware Trojan.GenericKD.4145717 20170111
AegisLab Troj.W32.DarkSoda.mfYH 20170111
AhnLab-V3 Trojan/Win32.Dynamer.C1741600 20170111
Antiy-AVL Trojan/Win32.AGeneric 20170111
Arcabit Trojan.Generic.D3F4235 20170111
Avast Win32:Malware-gen 20170111
Avira (no cloud) TR/Dropper.MSIL.glcsj 20170111
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9997 20170111
BitDefender Trojan.GenericKD.4145717 20170111
CrowdStrike Falcon (ML) malicious_confidence_100% (W) 20161024
ESET-NOD32 a variant of MSIL/Injector.RCI 20170111
Emsisoft Trojan.GenericKD.4145717 (B) 20170111
F-Secure Trojan.GenericKD.4145717 20170111
Fortinet MSIL/Injector.RCI!tr 20170111
GData Trojan.GenericKD.4145717 20170111
Ikarus Trojan.MSIL.Crypt 20170111
Invincea trojanspy.msil.omaneat.b 20161216
Jiangmin Trojan.Generic.aqnno 20170111
K7AntiVirus Trojan ( 005016a91 ) 20170111
K7GW Trojan ( 005016a91 ) 20170111
Kaspersky HEUR:Trojan.Win32.Generic 20170111
Malwarebytes Trojan.Dropper 20170111
McAfee Artemis!EDC94982E4B8 20170108
McAfee-GW-Edition BehavesLike.Win32.CryptDoma.vc 20170111
eScan Trojan.GenericKD.4145717 20170111
Microsoft PWS:Win32/Zbot!VM 20170111
NANO-Antivirus Trojan.Win32.GenericKD.ekhfuw 20170111
Panda Trj/CI.A 20170111
Qihoo-360 HEUR/QVM03.0.0000.Malware.Gen 20170111
Rising Trojan.Kryptik!8.8-tYvWUI0X9RD (cloud) 20170111
Sophos Mal/Generic-S 20170111
Symantec Trojan.Gen 20170111
Tencent Win32.Trojan.Generic.Aotd 20170111
TrendMicro TROJ_GEN.R0EDC0DA917 20170111
TrendMicro-HouseCall TROJ_GEN.R0EDC0DA917 20170111
VIPRE Trojan.Win32.Generic!BT 20170111
Yandex Trojan.Agent!Qsu9hZFHrRU 20170110
Como puede verse tanto McAfee como Kasperky detectan heuristicamente dicho malware:

Kaspersky HEUR:Trojan.Win32.Generic 20170111

McAfee Artemis!EDC94982E4B8 20170108

Aparte del RAMNIT infector, como virus que es, por lo que cabe recomendar que se configure la detección heuristica a nivel MUY ALTO, para asi poder detectar y eliminar este MULTRIDROPPER antes de que acabe con el ordenador …o con el usuario, pues bastante guerra ha dado a nuestros tecnicos !

Dicha versión del ELISTARA 35.98 que lo detecta y elimina, estará disponible en nuestra web a partir del 12-1-2016

saludos

ms, 11-1-2017