NUEVAS VARIANTES DEL MALWARE LISEC, TAMBIEN CONOCIDO COMO LETHIC, QUE TAMBIEN DESCARGA EL SOUNDER

Al igual que los Kasidet, los downloaders Sounder descargan tambien multiples ficheros correspondientes al malware LISEC o LETHIC

De la monitorización de los Sounders, tambien obtenemos, esta vez tropecientos, ficheros correspondientes al malware LISEC, que ya solo de la última monitorización, hemos obtenido 20 ficheros, de los que ofrecemos el MD5 y pasamos a controlar con el ELISTYARA 35.99 de hoy

Los MD5 de los últimos descargados son los siguientes:
“CC9AC141FAC899AB690A384D18886F3C” -> backwindow132(09).exe 138240
“5D87207243047EA9495D7A44843EACBA” -> backwindow232(09).exe 140800
“7C843BECCB162D6F900555BF22059061” -> backwindow32(09).exe 141312
“A4E9A53BEC1B8C8CDB188863674306BA” -> backwindow332(09).exe 139264
“B4E83A64538EC757673DFBFF7A2999A1” -> backwindow432(09).exe 141312
“A7F744B7BA619CA6FA3FB3B251EAB84B” -> backwindow532(09).exe 138752
“ED101E2D9FCD7846CF0DE1A18899BA1B” -> backwindow632(09).exe 140800
“A7190675026DE964A72B9A261B3E98E4” -> lisecewwevw(50).exe 155136
“27EA81457C8A97A188C19E0D913F8A1F” -> lisecosys(50).exe 152576
“2AADAF44F1D337CF0AE59F8F1E735F01” -> lisecosys32(50).exe 155136
“688389F6FE20D3C4BFA627B80C859077” -> lja7shayne4(35).exe 152064
“A87B786E557D6D174A63BE1AE47959B1” -> lliseconc1(49).exe 152064
“36F06C1D4063F24047B8EB7F84A3CC33” -> lliseconc2(49).exe 154624
“853C6E1F3887EA9D5CD10D4CEFBB444B” -> lliseconc4(48).exe 153600
“11CA95FF3B5D3DBC0D98E8C24740E34F” -> lliseconc8(85).exe 152576
“67013889BD9EA116E52864B193E28526” -> lliseconc8(86).exe 139264
“A7D9AA38B17186B4469C639043665E7D” -> lliseconc8a(85).exe 154624
“933A18C4C7136F781E080B180FE165F2” -> lliseconc8a(86).exe 137728
“BDEE2EE901DA3841A1BF9FF4B62FBB8A” -> sysaewazbys32(50).exe 155648
“68FE1738FCA2249AC3B9405D2896E871” -> systimwindow32(09).exe 139264

Todos ellos son lanzados por una clave O4 RUN y tras un tiempo de estar residentes, dejan de estarlo, pero en el siguiente reinicio vuelven a la carga…

El preanalisis de virustotal del último indiocado, ofrece el siguiente informe:

MD5 68fe1738fca2249ac3b9405d2896e871
SHA1 8f582cdda916bced8574e8a1768a7542175c331f
File size 136.0 KB ( 139264 bytes )
SHA256: ebddd5122e86ae70bf8c11ac2e2005d7b71d4a3c291cbdf6d9bbb1ac772e249b
File name: systimwindow32(09).exe
Detection ratio: 25 / 56
Analysis date: 2017-01-12 11:37:02 UTC ( 6 minutes ago )
0
1

Antivirus Result Update
AVG GenericX.760 20170112
Ad-Aware Gen:Variant.Midie.34356 20170112
Arcabit Trojan.Midie.D8634 20170112
Avast Win32:Malware-gen 20170112
Avira (no cloud) TR/Crypt.Xpack.gmcjm 20170112
Baidu Win32.Trojan.Kryptik.bck 20170112
BitDefender Gen:Variant.Midie.34356 20170112
Bkav W32.FamVT.RazyNHmA.Trojan 20170111
Cyren W32/S-e2e07e9d!Eldorado 20170112
DrWeb Trojan.Inject1.56622 20170112
ESET-NOD32 a variant of Win32/Kryptik.FMUF 20170112
Emsisoft Gen:Variant.Midie.34356 (B) 20170112
F-Prot W32/S-e2e07e9d!Eldorado 20170112
F-Secure Gen:Variant.Midie.34356 20170112
Fortinet W32/Kryptik.FMUF!tr 20170112
GData Gen:Variant.Midie.34356 20170112
Ikarus Worm.Win32.Kasidet 20170112
Invincea worm.win32.dorkbot.i 20170111
Jiangmin Trojan.Generic.aqymg 20170112
Kaspersky UDS:DangerousObject.Multi.Generic 20170112
Malwarebytes Trojan.MalPack 20170112
eScan Gen:Variant.Midie.34356 20170112
Panda Trj/GdSda.A 20170111
Symantec Trojan Horse 20170111
Tencent Win32.Trojan.Kryptik.Wsks 20170112

Al no conocerlo todavía el AV de McAfee, pasamos a enviarles muestra del mismo, para su analisis y control en las próximas versiones de su AV.

Dicha versión del ELISTARA 35.99 que los detecta y elimina, estará disponible en nuestra wbe a partir del 13-1-2017

saludos

ms, 12-1-2017