Ígual que los últimos días, no podían faltar los backdoors Kirts, que al actualizarse a veces instalan otros congeneres que no son de su familia, como ransomwares CERBER por ejemplo. Los hashes correspondientes son los siguientes: «4964F083AA6A6FA334983FEED7CB96D170F1908E» -> windrv(27).exe  537992 «30C7369964D8B94D683EF46B72F83A3E72DDD1F2» -> windrv(28).exe  284112 «AD9A55FDA46B4F5D5CB7F1DB7AF12D2F6F2FD128» -> windrv(29).exe  169424 «0518DE4DCDAC6C14DEDBFC6F53D53EAF04AB8F4A» -> winmgr(51).exe  152546 «33E34EA7DADB584CFCE75B0B37A3BF39EF4777EF» -> winmgr(52).exe  […]

Como ya habiamos observado, el backdoor KIRTS ademas de actualizarse frecuientemente, descarga e instala otros malwares, especialmente de la familia de ransomwares CERBER Lo pasamos a controlar a partir del ELISTARA 34.97 de hoy El preanalisis de virustotal ofrece el siguiente informe MD5 878246a46745902ef78afb6d9eaa0537 SHA1 983dcece9ac02a86c958954340828d73f78ff4e5 Tamaño del fichero 332.3 KB ( 340262 bytes ) […]

Como ya hemos dicho al respecto del KIRTS, es un backdoor que se actualiza continuamente y va ofreciendo nuevas variantes del mismo, asi como de otros malwares, especialmente de los ransomware LOCKY y ZEPTO, que pasamos a controlar a partir del ELISTARA 34.96 Los hashes correspondientes a muestras recibidas del Kirts son los siguientes: «6AB986E1CB3891F6C2CF56426E94F0438DFC6609» […]

Aunque el CERBER entraba por vulnerabilidades explotadas por el KIT EXPLOIT ANGLER, desde que apresaron a 50 hackers rusos autores de dicho kit, lo descargan actualmente a traves de otros medios, entre ellos por actualización de backdoor KIRTS, que además de ello, puede descargar e instalar el dichoso CERBER. Recordemos que ahora los autores del […]

Aparte de la actualización que periodicamente hace el Backdoor Kirst, observamos que alguna veces descarga ransomware CERBER, por lo que ya no le hace falta utilizar el Kit exploit Angler como antes, y por el hecho de estar infectado con el Kirts, que puede haberle llegado por mail o por pendrive, dicha infección puede derivar […]

A partir del ELISTARA 34.93 de hoy pasamos a controlar esta nueva variante de la conocida familia de BACKDOOR KIRST El preanalisis de virustotal ofrece el siguiente informe: MD5 4293aa8f2936aa81ec1d4fc0a5f75e69 SHA1 e17658a4aad7cb68270e46747bed5ff31ce97064 Tamaño del fichero 141.4 KB ( 144824 bytes ) SHA256:  f7efc0b9e9d6197f04f31cb7b1e1d2585e2474a74c2bf041bd041615a6afec57 Nombre:  winmgr(40).exe Detecciones:  18 / 52 Fecha de análisis:  2016-07-08 10:59:55 UTC […]

Ya es conocido que los Backdoors KIRTS se van actualizando a diario, y hoy nos encontramos que ademas de las nuevas variantes de los mismos, tambien nos han generado algun que otro Ransomware CERBER, que antes entraban por exploit Angler y ahora pueden hacerlo por descargas de los indicados KIRTS Los hashes de unos cuantos […]

No paran de aparecer nuevas variantes de esta familia que infecta pendrives y genera ficheros con atributos de S, H, y R para ocultarlos, asi como lineas de relleno en el AUTORUN.INF para disimular su contenido. Los hashes de los ficheros que pasamos a controlar a partir del ELISTARA 34.91 de hoy son los siguientes: […]

Siguen llegando variantes de esta familia de backdoors KIRTS, que además de infectar pendrives , oculta sus ficheros con atributos S, H, R y crea un fichero . lnk que ejecuta un AUTORUN.INF que lanza un MANAGER.JS y un BAT que ejecuta el fichero MANAGER.EXE, todos ellos con atributos segun se indica: X:\ %NombreVol%.lnk   (apunta […]

A partir del ELISTARA 34.89 de hoy, pasamos a controlar nuevas variantes del ultimamente conocido Backdoor Kirts, de los cuales ofrecemos los hashes SHA1 al respecto: «A60834E8A38CC60703ED9E68F94EF5BC15EF3CED» -> windrv(16).exe  275976 «741BB6E0D0845929D344DF5E6276AE6B032497DB» -> windrv(17).exe  243208 «6C1F46ACDDD8F298887B92919E4FBE6A8F4C0F67» -> windrv(18).exe  239112 «40D89B984E7850B95E78E73CBC94893E9FABC55F» -> winmgr(22).exe  202176 «7109993F416A1FCB7F604972FE1F3FA6F605F918» -> winmgr(23).exe  193984 «98491195454909ABBF290F48FFE8A5DA9610DE62» -> winmgr(24).exe  226824 «31949F2AAF7748EAE338BCAA18A724D4D4905241» -> winmgr(25).exe  226824 «7B2D3A7D8342DB738760652F364C66576DAD3C3F» […]

Igual que la anterior remesa de estos backdoors que detallabamos esta mañana, han llegado estos que son mas de lo mismo, pero sin el WINSVC que habia antes, pero sí los WINDRV, de los que ofrecemos los hashes SHA1: «87136D6B173F0CE515F79FF250DD5556F436D1C3» -> windrv(10).exe  243208 «6CB54991990265F9D8F184018C35D81E0DECD0C4» -> windrv(11).exe  300552 «399BC421132D58EC549C1BBC1F589CB35C6C8218» -> windrv(12).exe  222728 «B357358811F485E5138CEB2829527E1AE7B16204» -> windrv(13).exe  202248 […]

Adjuntamos relación de hashes SHA1 de los ficheros resultantes de análisis/monitorización de muestras de backdoor KIRTS: «8AC21AF6757D6E7226BB94ADC46C42F826492F55» -> windrv(04).exe  288264 «3AD8FC2050E9C8AF2AF1F2531D330C1698DEB13F» -> windrv(05).exe  275976 «60023D91D149031EADDB210E75749A695D19B2F6» -> windrv(06).exe  280072 «BF290251A9FD065AFD8870810B0F52647C2957BB» -> windrv(07).exe  218632 «0362E7D77E7086FEDA7F550EB7BA79557FFB1344» -> windrv(08).exe  255528 «AA707E45FA3473336CBFCA9726C02D145991168C» -> windrv(09).exe  173576 «251E23C14A6F4F33A7D09314792AA72B571783EA» -> winmgr(08).exe  128520 «C6B2C34DE04ACD02CE8850A8A95811503B122E58» -> winmgr(09).exe  144904 «BE0C201E78A675F7A66403992CF11A2F823ACEE7» -> winmgr(10).exe  202248 «E65E7885403024FCAB5BE37E8ED96286287DFE46» -> winmgr(11).exe  […]