Nuevo troyano FAKEAVG, no detectado todavía por ningun antivirus de VirusTotal

Un nuevo virus, que se propaga por pendrive, acaba de ser controlado e implementado su control, eliminación y restauración de claves, a partir del ELISTARA de hoy 19.08:

Se copia con los nombres de akaro.exe, dido.exe y lsass.exe con icono de AVG

Los dos primeros los oculta con atributos  S, H, R, siendo el de sistema no visible desde propiedades del fichero. En cambio el lsass.exe no lo oculta, pero lo copia en carpeta c:\windows, contra la de sistema donde está normalmente el fichero de windows con dicho nombre.

Desactiva el acceso al administrador de tareas y a la edicion del REGEDIT

Y se propaga a todas las unidades incluidos pendrives, creando AUTORUN.INF que lo ejecuta, si no se tiene vacunado el ordenador con el ELIPEN

Como hemos dicho otras veces, recomendamos vacunar ordenador y unidades USB con el ELIPEN, para evitar los virus que se propagan de dicho modo

Actualmente ningun antivirus del VirusTotal lo detecta:

File akaro.exe.Muestra_EliMover_v1.1 received on 2009.07.22 08:59:25 (UTC)

Result: 0/40 (0%)
File size: 294912 bytes
MD5…: 7535ecb924c9cf863162c9cb7a5afbff
SHA1..: 0654d8db252cf7be86796a47af57bf83496650f6

 
Si bien con el ELIMD5, ya se controla, introduciendole cualquiera de los dos hashes, los localiza y elimina moviendolos a cuarentena añadiendole a su extension el codigo hash con el que lo ha detectado.

Pronto lo detectarán los demás, pero gracias al envio de muestras de nuestros usuarios, esta vez hemos sido los primeros 🙂

saludos

ms, 22-7-2009