Variante de PALEVO no controlado todavía por la inmensa mayoría de las versiones actuales de los antivirus del VirusTotal

Como ya vamos haciendo a diario, pasamos a implementar en el ELIPALEVO.EXE 1.16 de hoy el control, eliminacion y restauracion de claves modificadas por una nueva variante que hemos detectado en una muestra pedida por la misma utilidad:

File SYSDATE.EXE.Muestra_EliPalevo_v1. received on 2009.09.09 11:34:24 (UTC)
Result: 4/41 (9.76%)
 

Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.09 –
AhnLab-V3 5.0.0.2 2009.09.09 –
AntiVir 7.9.1.12 2009.09.09 –
Antiy-AVL 2.0.3.7 2009.09.09 –
Authentium 5.1.2.4 2009.09.08 –
Avast 4.8.1351.0 2009.09.08 –
AVG 8.5.0.409 2009.09.09 SHeur2.BCBM
BitDefender 7.2 2009.09.09 –
CAT-QuickHeal 10.00 2009.09.09 (Suspicious) – DNAScan
ClamAV 0.94.1 2009.09.09 –
Comodo 2262 2009.09.09 –
DrWeb 5.0.0.12182 2009.09.09 Win32.HLLW.Lime.18
eSafe 7.0.17.0 2009.09.08 –
eTrust-Vet 31.6.6727 2009.09.09 –
F-Prot 4.5.1.85 2009.09.08 –
F-Secure 8.0.14470.0 2009.09.09 –
Fortinet 3.120.0.0 2009.09.09 –
GData 19 2009.09.09 –
Ikarus T3.1.1.72.0 2009.09.09 –
Jiangmin 11.0.800 2009.09.09 –
K7AntiVirus 7.10.839 2009.09.08 –
Kaspersky 7.0.0.125 2009.09.09 –
McAfee 5735 2009.09.08 –
McAfee+Artemis 5735 2009.09.08 –
McAfee-GW-Edition 6.8.5 2009.09.09 –
Microsoft 1.5005 2009.09.09 –
NOD32 4409 2009.09.09 –
Norman 6.01.09 2009.09.08 –
nProtect 2009.1.8.0 2009.09.09 –
Panda 10.0.2.2 2009.09.08 –
PCTools 4.4.2.0 2009.09.07 –
Prevx 3.0 2009.09.09 –
Rising 21.46.22.00 2009.09.09 –
Sophos 4.45.0 2009.09.09 –
Sunbelt 3.2.1858.2 2009.09.09 –
Symantec 1.4.4.12 2009.09.09 –
TheHacker 6.3.4.3.399 2009.09.09 –
TrendMicro 8.950.0.1094 2009.09.09 –
VBA32 3.12.10.10 2009.09.08 –
ViRobot 2009.9.9.1925 2009.09.09 Trojan.Win32.Downloader.131072.AL
VirusBuster 4.6.5.0 2009.09.08 –
Additional information
File size: 131072 bytes
MD5…: f44b4fd6a3058a6a9478e7e3df99e211
SHA1..: 3bdf54f93ff5092950b86774e2775019ec8d557f

Pues a la vista de que cada día tenemos nuevas variantes de este engendro, controlando con este ya 25 diferentes, pasamos a comentar detalles y caracteristicas principales de esta familia:

Llega por MSN indicando un link que descarga un fichero que al ejecutarlo modifica el registro, cargandose en la clave del USER.INI de modo que aun arrancando en MODO SEGURO se instala igualmente en memoria, lo que hace mas dificil su eliminacion.

Aparte se propaga a todas las unidades USB , con lo que los pendrives no protegidos con el ELIPEN seran infectados y lo propagaran a otros ordenadores no protegidos en los que se inserten.

Como sea que el fichero vírico está en uso, Windows no deja eliminarlo, y además se oculta en carpeta con atributo de papelera y logicamente con atributos de S y H, y se regenera la key si se elimina, ademas de que el fichero no se deja renombrar, indicando ACCESO DENEGADO.

Por ello vamos controlando las nuevas variantes que van apareciendo con las nuevas versiones del ELIPALEVO, del que hoy ya editamos la version 1.16

Y recordar que el HJT no visualiza la clave donde se lanza, contrariamente al SPROCES, por lo cual, como siempre recomendamos, conviene que siempre nos posteen log de nuestra utilidad en lugar de la del clásico HJT.

Aparte, el mismo ELIPALEVO pedirá muestra de los ficheros sospechosos, si es una variante no controlada, la cual pasaremos a controlar tras recibir la muestra.

saludos

ms, 9-9-2009