Un nuevo virus apenas controlado (solo por Antivir y McAfee), deja sin escritorio hasta que se lanza manualmente el EXPLORER EXE
Dejando la pantalla en negro cuando se arranca con este virus, hemos visto que permite lanzar el EXPLORER.EXE desde el Taskmanager.
Gracias al ELISTARA hemos visto ficheros sospechosos, en cuyo preanalisis vemos que actualmente solo lo detectan dos antivirus (Antivir y McAfee) y va creando ficheros con nombre aleatorio que lanza como debugueador del unserinit.exe, que es una nueva forma de lanzar los malwares desde el registro.
Además crea 4 claves con las que bloquea los navegadores Chrome, Navigator, Opera y Safari forzando que al lanzarlos se ejecute el Internet explorer, segun se puede ver con SPROCES en el apartado de Información Adicional.
En el preanalisis con el Virus Total actual, muestra:
File xwhlrdrv.exe received on 2009.10.29 10:13:38 (UTC)
Current status: finished
Result: 2/41 (4.88%)
AntiVir 7.9.1.50 2009.10.29 TR/Crypt.ZPACK.Gen
McAfee-GW-Edition 6.8.5 2009.10.29 Trojan.Crypt.ZPACK.Gen
File size: 51712 bytes
MD5 : 3ca1336d486a0febf1714aac07ae0f99
SHA1 : 74ed5fd87aa998936a05a00eb2fbe41f6dd787b2
Y en el C:\sproclog.txt generado por el SPROCES, se aprecia lo siguiente:
Información Adicional:
———————-
Clave “HKLM\…\Image File Execution Options\chrome.exe”
“Debugger”=”C:\Archivos de programa\Internet Explorer\iexplore.exe”
Clave “HKLM\…\Image File Execution Options\navigator.exe”
“Debugger”=”C:\Archivos de programa\Internet Explorer\iexplore.exe”
Clave “HKLM\…\Image File Execution Options\opera.exe”
“Debugger”=”C:\Archivos de programa\Internet Explorer\iexplore.exe”
Clave “HKLM\…\Image File Execution Options\safari.exe”
“Debugger”=”C:\Archivos de programa\Internet Explorer\iexplore.exe”
Clave “HKLM\…\Image File Execution Options\userinit.exe”
“Debugger”=”xwhlrdrv.exe”
A partir de la version 19.57 del ELISTARA de hoy ya se controlará este nuevo malware, los ficheros maliciosos creados y se eliminarán las claves al respecto
Lo pasamos a controlar como MALWARE.DEBUGUER desde dicha version del ELISTARA
saludos
ms, 29-10-2009
NOTA: Este troyano fue descargado por un Bredolab junto con otros varios, incluido uno de MBR.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.