Se trata de una variante de las muchas que nos han llegado de este JS.CRISAS, desde Sudamerica y Mexico, empezando el primero hace mas de 1 año en Colombia. No crea AUTORUN.INF en los pendrives, por lo que no cabe utilizar el ELIPEN para este tipo de infecciones de pendrives. Se instala por la ejecución […]

El malware H1N1 muta hacia un troyano muy completo: keylogger, llega en macros de Office, infecta pendrives y unidades compartidas Nada que ver con la gripe aviar, de la que usa el nombre : https://es.m.wikipedia.org/wiki/Influenzavirus_A_subtipo_H1N1

Mas variantes de este malware de los que conocemos cientos de variantes, pasamos a controlarlo a partir del ELISTARA 35.12 Oculta los ficheros que encuentra, generando link con su nombre, que lanza el malware EL preanalisis de virustotal ofrece el siguiente informe: MD5 7f3518f47cd8603191b2a1c21c35a644 SHA1 72dcb833f6a23599ee03ba4b8003fae93594cd45 File size 2.3 MB ( 2366656 bytes ) SHA256: […]

Adjuntamos relación de hashes SHA1 de los ficheros resultantes de análisis/monitorización de muestras de backdoor KIRTS: “8AC21AF6757D6E7226BB94ADC46C42F826492F55” -> windrv(04).exe  288264 “3AD8FC2050E9C8AF2AF1F2531D330C1698DEB13F” -> windrv(05).exe  275976 “60023D91D149031EADDB210E75749A695D19B2F6” -> windrv(06).exe  280072 “BF290251A9FD065AFD8870810B0F52647C2957BB” -> windrv(07).exe  218632 “0362E7D77E7086FEDA7F550EB7BA79557FFB1344” -> windrv(08).exe  255528 “AA707E45FA3473336CBFCA9726C02D145991168C” -> windrv(09).exe  173576 “251E23C14A6F4F33A7D09314792AA72B571783EA” -> winmgr(08).exe  128520 “C6B2C34DE04ACD02CE8850A8A95811503B122E58” -> winmgr(09).exe  144904 “BE0C201E78A675F7A66403992CF11A2F823ACEE7” -> winmgr(10).exe  202248 “E65E7885403024FCAB5BE37E8ED96286287DFE46” -> winmgr(11).exe  […]

Incluyendo el ya analizado, hemos recibido 10 muestras de este Backdoor Kirts de los que ofrecemos los hashes SHA1 a continuación: “A9C4AB6DDF9B4BC44B32CCD6AB6C0DE470153FD4” -> 214280b4.exe  292880 “DC574B82701A551E99E972630F4D55DA262F0618” -> windrv(01).exe  288296 “B27F50C9154335DDA439BF531FB27CCA8355A0BF” -> windrv.exe  304648 “CF1BD04B65B6C5D9FA6D141453366941000BE800” -> winmgr(01).exe  219664 “DD81A7B57BA6D972263196A50B2A4421374474CD” -> winmgr(02).exe  280104 “B84F358289900CF2FA347D61CE334A2F167ACEA1” -> winmgr(03).exe  216220 “E9E1B85E43F2E4DA24966B4D4D475E32CB863C4A” -> winmgr(1).exe  220688 “3222FAA3071B57805858C8196E90AA5CE7892D91” -> winmgr(2).exe  226824 “7E95F34F12771125764B21675F614CB9CC770D13” -> […]

Otro malbicho que vuelve a las andadas de infectar pendrives , oculta sus ficheros con atributos S, H, R y crea un lnk que ejecuta un AUTORUN.INF que lanza un MANAGER.JS y un BAT que ejecuta Un fichero MANAGER.EXE, todos ellos con atributos segun se indica: X:\ %NombreVol%.lnk   (apunta a “Manager.js”) X:\ autorun.inf       (apunta a […]

nuevo método de infección de pendrives, que oculta todo su contenido y lo deja infeccioso, con aparente link que decodifica y ejecuta en temporal un fichero codificado creado al efecto, variable segun variante, como estos dos por ejemplo: C:\WINDOWS\system32\rundll32.exe ~$W****.fat,crys ******** ******** ó C:\WINDOWS\system32\rundll32.exe _*****.init,crys ******** ******** y ejecuta “C:\Temp\TrustedInstaller.exe” (+s+h) lo cual genera una […]