Un nuevo virus apenas controlado (solo por Antivir y McAfee), deja sin escritorio hasta que se lanza manualmente el EXPLORER EXE

Publicado el 29 octubre 2009 ¬ 13:48 pmh.mscComentarios desactivados en Un nuevo virus apenas controlado (solo por Antivir y McAfee), deja sin escritorio hasta que se lanza manualmente el EXPLORER EXE

 

Dejando la pantalla en negro cuando se arranca con este virus, hemos visto que permite lanzar el EXPLORER.EXE desde el Taskmanager.

Gracias al ELISTARA hemos visto ficheros sospechosos, en cuyo preanalisis  vemos que actualmente solo lo detectan dos antivirus (Antivir y McAfee) y va creando ficheros con nombre aleatorio que lanza como debugueador del unserinit.exe, que es una nueva forma de lanzar los malwares desde el registro.

Además crea 4 claves con las que bloquea los navegadores Chrome, Navigator, Opera y Safari forzando que al lanzarlos se ejecute el Internet explorer, segun se puede ver con SPROCES en el apartado de Información Adicional.

En el preanalisis con el Virus Total actual, muestra:
File xwhlrdrv.exe received on 2009.10.29 10:13:38 (UTC)
Current status: finished

Result: 2/41 (4.88%)

AntiVir 7.9.1.50 2009.10.29 TR/Crypt.ZPACK.Gen
McAfee-GW-Edition 6.8.5 2009.10.29 Trojan.Crypt.ZPACK.Gen

File size: 51712 bytes
MD5   : 3ca1336d486a0febf1714aac07ae0f99
SHA1  : 74ed5fd87aa998936a05a00eb2fbe41f6dd787b2

 

Y en el C:\sproclog.txt generado por el SPROCES, se aprecia lo siguiente:

Información Adicional:   
———————-
Clave “HKLM\…\Image File Execution Options\chrome.exe”
      “Debugger”=”C:\Archivos de programa\Internet Explorer\iexplore.exe”
Clave “HKLM\…\Image File Execution Options\navigator.exe”
      “Debugger”=”C:\Archivos de programa\Internet Explorer\iexplore.exe”
Clave “HKLM\…\Image File Execution Options\opera.exe”
      “Debugger”=”C:\Archivos de programa\Internet Explorer\iexplore.exe”
Clave “HKLM\…\Image File Execution Options\safari.exe”
      “Debugger”=”C:\Archivos de programa\Internet Explorer\iexplore.exe”
Clave “HKLM\…\Image File Execution Options\userinit.exe”
      “Debugger”=”xwhlrdrv.exe”


A partir de la version 19.57 del ELISTARA de hoy ya se controlará este nuevo malware, los ficheros maliciosos creados y se eliminarán las claves al respecto

Lo pasamos a controlar como MALWARE.DEBUGUER desde dicha version del ELISTARA

saludos

ms, 29-10-2009

 

NOTA: Este troyano fue descargado por un Bredolab junto con otros varios, incluido uno de MBR.

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies