Internet lento icshosts.exe

Responder
geoda
Asiduo al foro
Asiduo al foro
Mensajes: 125
Registrado: 09 Abr 2009, 00:44

Internet lento icshosts.exe

Mensaje por geoda » 17 Abr 2017, 04:21

amigo tengo problemas con esta archivo icshosts.exe que ocupa casi 1.042 Gb de memorya y relantiza el internet auoda por favor



les envio las muestra mas su bat



Fichero: muestras1.rar | Tamaño: 660,31 Kb

MD5: 5AA832B4E71D03097455417CF9C60AFE



que contiene el bat y icshosts.exe









Fichero: WoT Mail Checker Euro Edition.rar | Tamaño: 484,09 Kb

MD5: EB951C8369FCF35CD6939C7D6FD1E6FD



les envio otra muestra 3



Fichero: TGK 4.4.2.rar | Tamaño: 72,47 Kb

MD5: 96B33FB80ED2E12C25DDCE71EACD1E7C

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 88959
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Internet lento icshosts.exe

Mensaje por msc hotline sat » 18 Abr 2017, 10:28

Terminadas las minivacaciones de Semana Santa (que en Catalunya duran hasta hoy martes), veo que hemos recibido el malware causante de la infección, el TGK 4.4.2.exe



Ayer ya vi en mi Ipad, que decias haber enviado algo, pero estaba en el AVE a 300 km/h, y la propagación era mala, pero hoy en el ordenador lo he descargado y visto que era malware al que varios AV llaman "ProcPatcher" y que pasaremos a controlar como Hacktool TGK, al ser una utilidad de hackeo para activar productos ilegalmente...





MD5 382118fabb208eacc621f7c21c4e4b21

SHA1 c01f5fdcdebc23f515cc796213e3a35697d4bcf4

Tamaño del fichero 261.5 KB ( 267776 bytes ) Su archivo está siendo analizado.

SHA256:

62c2128500b56d536e51e83d701ce1a6c455d38433ffeee2fe82922e9ac51d3d

Nombre:

TGK 4.4.2.exe

Detecciones:

29 / 61

Fecha de análisis:

2017-04-18 07:36:56 UTC ( hace 5 minutos )



Informe actual de virustotal:

https://www.virustotal.com/es/file/62c2128500b56d536e51e83d701ce1a6c455d38433ffeee2fe82922e9ac51d3d/analysis/1492501016/



Vamos a analizarlo y lo controlaremos en el ELISTARA 36.65 de hoy



Vamos a seguir con las otras muestras e informaremos.



saludos



ms, 18-4-2017

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 88959
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Internet lento icshosts.exe

Mensaje por msc hotline sat » 18 Abr 2017, 11:44

Sobre el fichero de Nombre:



WoT Mail Checker Euro Edition.exe



Parece que se trata de una variante del KEYLOGGER BLADABINDI, por lo que vemos en el preanalisis de virustotal:





El preanalisis de viristotal ofrece el siguiente informe:



MD5 2812dcc453c778fcef0ecb3a56a1dc5d

SHA1 6bad0c6f63d63bc033514bdfcfe68378a01a6cad

Tamaño del fichero 646.2 KB ( 661729 bytes )

SHA256:

e0d1e5d6269e54b8434c4c3dedd5c91f867a41277efe513d4f7a43a8a2ef4f2c

Nombre:

WoT Mail Checker Euro Edition.exe

Detecciones:

41 / 62

Fecha de análisis:

2017-04-18 08:54:50 UTC ( hace 4 minutos )



Informe total actual del virustotal:



https://www.virustotal.com/es/file/e0d1e5d6269e54b8434c4c3dedd5c91f867a41277efe513d4f7a43a8a2ef4f2c/analysis/1492505690/





Y de otra muestra enviada, vemos que puede tratarse de un Backdoor Dynamer, segun analisis de virustotal:





MD5 0d0ee985c3fbcb7c44039a141faa4f41

SHA1 2941db87a2f81bccd292c6476a39860a9af6e917

SHA256 12410f8c08221d5c57356b4a07cf77ed3ec0129b6463e6f7920f1553b6866a13

ssdeep

12288:yQifu6FarO+v8CZNGoU9SA7w75AwAXtW1tmCOPyDi+TSMiBgPiXADUrbSRNiG6dl:yfu6FQ8CrGoUoAw75WcbmCOPyDLe7+P0



authentihash 2db9c20d40136fcfccf579f54a08fe1b1c167cebf49689c9813c7c9d24110ca2

imphash 8d18d95f15a1b91324fa19c9c6f1aac2

Tamaño del fichero 718.0 KB ( 735232 bytes )

SHA256: 12410f8c08221d5c57356b4a07cf77ed3ec0129b6463e6f7920f1553b6866a13

File name: icshosts.exe

Detection ratio: 36 / 62

Analysis date: 2017-04-18 09:04:21 UTC





Pudiendo ver el informe total actual en el siguiente informe:



https://www.virustotal.com/es/file/12410f8c08221d5c57356b4a07cf77ed3ec0129b6463e6f7920f1553b6866a13/analysis/1492506261/



Todos ellos los pasaremos a controlar a partir del ELISTARA 36.65 de hoy





Luego veremos cual de los indicados puede convertir las carpetas en enlaces al fichero malware y ocultar las carpetas iniciales y comentaremos el resultado del analisis.





saludos



ms, 18-4-2017

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 88959
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Internet lento icshosts.exe

Mensaje por msc hotline sat » 18 Abr 2017, 11:53

Por cierto, el fichero .BAT que decias enviar en MUESTRAS1 no aparece, y como que es inocuo sin el que lanza, puedes hacer y COPIAR Y PEGAR del texto de dicho BAT, como si fuera un TXT, y pegarlo como respuesta a este Tema, gracias



saludos



ms, 18.4.2017

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 88959
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Internet lento icshosts.exe

Mensaje por msc hotline sat » 18 Abr 2017, 16:26

Y POR FIN APARECIÓ EL CULPABLE !!!

Se trataba de un dropper que creaba e instalaba un peligroso keylogger Bladabindi, inaccesible como ya habias podido comprobar.

A partir del ELISTARA 36.65 ya estará controlado el dichos nuevo keylogger asi como el dropper y demas complementarios que lo instalaban.


Y felicidades, que no solo tendrás solucionado el problema del acceso, sino que te habrás quitado de encima este peligroso keylogger que aunque algunos antivirus pudieran detectarlo, no tenian acceso a eliminarlo:


Pues Enhorabuena, que de buena te has librado, geoda !

Y cuidate del Niño volcánico que os viene encima, que me temo deje a Lima peor de lo que ví, con tan buenos restaurantes, hoteles y monumentos que teneis por acá !

saludos

ms, 18-4-2017

Responder

Volver a “Foro Virus - Cuentanos tu problema”

¿Quién está conectado?

Usuarios navegando por este Foro: Bing [Bot] y 12 invitados