Troyano 0-day y heurística de los antivirus

Troyano 0-day y heurística de los antivirus

Hola

La cosa es que he abierto el aMSN después de mucho tiempo para hablar con una persona, y otro contacto que estaba conectado (que no sé quién es) me ha enviado un mensaje diciendo que me pasaba unos "guiños" para el messenger.

Me ha sonado raro, concretamente a mensaje de esos automáticos que envían los bots que infectan el msn, y efectivamente se me ha ofrecido la transferencia de un ejecutable.

La he aceptado (un fichero llamado wink.exe de apenas 80 Kb), y al descargarlo y pasarlo por virustotal, este es el resultado:

Virustotal. MD5: eb555eff8eb06d7dce921385360028e5 Trojan Horse Trojan.Crypt.FKM.Gen W32/Packed_FSG.D

25 de 41 antivirus alertan de que es "bicho", pero casi todos lo hacen por heurística. Así que supongo que efectivamente se trata de algún troyano, pero bastante "nuevo" porque no le dan un nombre concreto.

Por cierto que ni Kaspersky ni Panda se enteran

Por si alguien quiere ejecutarlo en una máquina virtual o en el propio PC de trabajo (ojo que es es un virus real- allá cada uno con lo que hace)

wink.zip

Saludos

Re: Troyano 0-day y heurística de los antivirus

Gracias por <tachado>el virus</tachado> la información

Saludos

Re: Troyano 0-day y heurística de los antivirus

De estos salen a diario, lo que me sorprende es que el Kaspersky no lo detecte, del Panda ni hablemos.

Saludos.

Re: Troyano 0-day y heurística de los antivirus

Gracias por la muestra, formará parte de mis miles de mascotas.


AVIRA Labs:

File ID Filename Size (Byte) Result
25379571 wink.exe 73.03 KB MALWARE


Please find a detailed report concerning each individual sample below:
Filename Result
wink.exe MALWARE

The file 'wink.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Crypt.FKM.Gen. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.This malware is detected by a special detection routine from the engine module.

Re: Troyano 0-day y heurística de los antivirus

Wenas.
Gracias por el aviso Equipo.

Chao//

Re: Troyano 0-day y heurística de los antivirus

mas que un troyano nuevo me parece que es una modificacion de uno por que es detectado por la mayoria por las bases genericas. si le ponen uno cero day seguro que la mayoria ni se entera.

saludos

Re: Troyano 0-day y heurística de los antivirus

Gracias por el aviso

Saludoss!

Re: Troyano 0-day y heurística de los antivirus

Como siempre, lo he probado con el kis 09 o 2010 y en demanda no lo detecta... pero al ejecutarlo... la preventiva no nota nada raro...ni nada de nada... el caso es que sigo mirando y vi en el control de aplicaciones que estaba dicho proceso activo y consumiendo memoria... es decir, esta encripado y oculto... por lo que veo es un troyano, pero no veo tampoco que se conecte a ningun lugar... es decir no saca la información del pc ni nada... Lo mando a Kaspersky....


Ups... Hello,

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.

Trojan.Win32.VB.rqv

Re: Troyano 0-day y heurística de los antivirus

Pues vaya invento la preventiva y el análisis de actividad sospechosa del Kaspersky 2010

Re: Troyano 0-day y heurística de los antivirus

Hombre no hay nada 100% seguro.... pero con el control de aplicaciones( HIPS )... veía que estaba activo y consumiendo memoria... al estar en confiable actuaba... y ahora han añadido la opción de botón derecho y cambiar eso... por lo tanto le he dado a terminar proceso y lo he puesto en no confiable para que en caso de reiniciarse estuviera sin poder actuar....

En definitiva... si kaspersky no detecta en demanda.. lo detiene cualquiera de sus otros componentes de protección como el caso éste...