Nueva muestra recibida del FAKE WINDEFRAG (ahora este es WINDEFRAGMENTER)

Una nueva muestra del nuevo FAKE de hoy, pero diferente de la primera:

File name: 138421.EXE.Muestra EliStartPage v22.12
Submission date: 2010-12-01 16:19:42 (UTC)
Current status: queued queued (#6) analysing finished
Result: 21/ 43 (48.8%)
 VT Community

not reviewed
 Safety score: – 
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.12.01.04 2010.12.01 Packed/Win32.Krap
AntiVir 7.10.14.162 2010.12.01 TR/Ag.cfx
Antiy-AVL 2.0.3.7 2010.12.01 –
Avast 4.8.1351.0 2010.12.01 –
Avast5 5.0.677.0 2010.12.01 –
AVG 9.0.0.851 2010.12.01 Cryptic.BJB
BitDefender 7.2 2010.12.01 Trojan.Generic.KDV.77548
CAT-QuickHeal 11.00 2010.12.01 (Suspicious) – DNAScan
ClamAV 0.96.4.0 2010.12.01 –
Command 5.2.11.5 2010.12.01 –
Comodo 6913 2010.12.01 –
DrWeb 5.0.2.03300 2010.12.01 Trojan.DownLoader1.41159
Emsisoft 5.0.0.50 2010.12.01 Packed.Win32.Krap!IK
eSafe 7.0.17.0 2010.12.01 Win32.TRAg.Cfx
eTrust-Vet 36.1.8011 2010.12.01 –
F-Prot 4.6.2.117 2010.11.30 –
F-Secure 9.0.16160.0 2010.12.01 Trojan.Generic.KDV.77548
Fortinet 4.2.254.0 2010.12.01 –
GData 21 2010.12.01 Trojan.Generic.KDV.77548
Ikarus T3.1.1.90.0 2010.12.01 Packed.Win32.Krap
Jiangmin 13.0.900 2010.12.01 –
K7AntiVirus 9.69.3136 2010.12.01 –
Kaspersky 7.0.0.125 2010.12.01 Packed.Win32.Krap.ao
McAfee 5.400.0.1158 2010.12.01 Generic.dx!vcg
McAfee-GW-Edition 2010.1C 2010.12.01 Artemis!9A566F7CDECD
Microsoft 1.6402 2010.12.01 Trojan:Win32/FakeSysdef
NOD32 5664 2010.12.01 a variant of Win32/Kryptik.INX
Norman 6.06.10 2010.12.01 –
nProtect 2010-12-01.01 2010.12.01 –
Panda 10.0.2.7 2010.12.01 Trj/CI.A
PCTools 7.0.3.5 2010.12.01 –
Prevx 3.0 2010.12.01 Medium Risk Malware
Rising 22.76.01.07 2010.12.01 –
Sophos 4.60.0 2010.12.01 Mal/FakeAV-EA
SUPERAntiSpyware 4.40.0.1006 2010.12.01 –
Symantec 20101.2.0.161 2010.12.01 –
TheHacker 6.7.0.1.094 2010.12.01 –
TrendMicro 9.120.0.1004 2010.12.01 –
TrendMicro-HouseCall 9.120.0.1004 2010.12.01 TROJ_GEN.R3EC2L1
VBA32 3.12.14.2 2010.12.01 –
VIPRE 7465 2010.12.01 Trojan.Win32.Generic!SB.0
ViRobot 2010.12.1.4178 2010.12.01 –
VirusBuster 13.6.69.0 2010.12.01 –
Additional informationShow all 
MD5   : 9a566f7cdecd8a8b8c199fc0de372258
SHA1  : d12b79d86f2a01928682345f124e1bf6aa0c850b

File size : 358400 bytes

copyright….: (c) Microsoft Corporation. All rights reserved.
product……: Microsoft_ Windows_ Operating System
description..: Windows Control Panel
original name: control
internal name: control
file version.: 6.0.6000.16386
 

Igualmente, nos falta para controlarlo totalmente, la DLL que va indicando los “desastres” detectados, y ello será posible cuando recibamos el “dropper” que ya hemos pedido, en este caso resulta ser este:

C:\DOCUME~1\ESTREL~1.COR\CONFIG~1\Temp\tHjkVobPMP.exe

En cuanto lo recibamos, lo monitorizaremos, veremos cual y como es la DLL creada y procederemos a controlar todo el conjunto.

De momento hemos implementado en el ELISTARA 22.13 que estamos haciendo, el control y eliminacion del .EXE arriba indicado, y estamos pendientes de recibie el “dropper” para terminar con el resto.

saludos

ms, 1-12-2010

Para los que no conozcan como se presenta el primero:

NOTA: Al monitorizar el ultimo vemos que le llama WINDEFRAGMENTER, para diferenciarlo del primero, claro !

Resumen de nombres de FAKE TOOLS (Aparte de los FAKE ALERTS – AV) conocidos hasta el momento:

FAKE ULTRADEFRAGGER
FAKE  TOOL WIN HDD
FAKE TOOL WINDEFRAG
FAKE TOOL WINDEFRAGMENTER

ms.