NUEVA GAMA DE FAKE TOOL ESTA VEZ SE PRESENTA COMO FAKE TOOL WIN SCANNER Y LO DETECTAN ACTUALMENTE SOLO 8 AV

A los 5 que ya relacionabamos ayer, incluyendo el FAKE TOOL DISKREPAIR, se le añade esta nueva historia, mas de lo mismo pero con diferentes nombres pero manteniendo su ubbicacion en DATOS DE PROGRAMA de ALL USERS

El preanalisis del VirusTotal nos muestra que solo 8 antivirus lo detectan actualmente:
File name: BEEVOMNCUMPB.EXE.Muestra EliStartPage v22.25
Submission date: 2010-12-23 09:30:02 (UTC)
Current status: finished
Result: 8 /43 (18.6%)
 VT Community

not reviewed
 Safety score: – 
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.12.23.01 2010.12.22 –
AntiVir 7.11.0.144 2010.12.22 –
Antiy-AVL 2.0.3.7 2010.12.23 –
Avast 4.8.1351.0 2010.12.22 –
Avast5 5.0.677.0 2010.12.22 –
AVG 9.0.0.851 2010.12.23 –
BitDefender 7.2 2010.12.23 –
CAT-QuickHeal 11.00 2010.12.23 –
ClamAV 0.96.4.0 2010.12.23 –
Command 5.2.11.5 2010.12.23 –
Comodo 7158 2010.12.23 –
DrWeb 5.0.2.03300 2010.12.23 –
Emsisoft 5.1.0.1 2010.12.23 –
eSafe 7.0.17.0 2010.12.22 –
eTrust-Vet 36.1.8055 2010.12.22 –
F-Prot 4.6.2.117 2010.12.22 –
F-Secure 9.0.16160.0 2010.12.23 –
Fortinet 4.2.254.0 2010.12.21 –
GData 21 2010.12.23 –
Ikarus T3.1.1.90.0 2010.12.23 –
Jiangmin 13.0.900 2010.12.22 –
K7AntiVirus 9.74.3319 2010.12.22 –
Kaspersky 7.0.0.125 2010.12.23 Packed.Win32.Krap.ao
McAfee 5.400.0.1158 2010.12.23 Generic FakeAlert.am
McAfee-GW-Edition 2010.1C 2010.12.22 –
Microsoft 1.6402 2010.12.23 Trojan:Win32/FakeSysdef
NOD32 5726 2010.12.22 a variant of Win32/Kryptik.JCY
Norman 6.06.12 2010.12.23 –
nProtect 2010-12-23.01 2010.12.23 –
Panda 10.0.2.7 2010.12.22 –
PCTools 7.0.3.5 2010.12.23 –
Prevx 3.0 2010.12.23 –
Rising 22.79.02.04 2010.12.23 Packer.Win32.Agent.bk
Sophos 4.60.0 2010.12.23 Mal/FakeAV-EA
SUPERAntiSpyware 4.40.0.1006 2010.12.23 –
Symantec 20101.3.0.103 2010.12.23 –
TheHacker 6.7.0.1.104 2010.12.21 –
TrendMicro 9.120.0.1004 2010.12.23 TROJ_FAKEAL.SMEP
TrendMicro-HouseCall 9.120.0.1004 2010.12.23 TROJ_FAKEAL.SMEP
VBA32 3.12.14.2 2010.12.23 –
VIPRE 7768 2010.12.23 –
ViRobot 2010.12.23.4215 2010.12.23 –
VirusBuster 13.6.108.0 2010.12.22 –
Additional informationShow all 
MD5   : 3005c1aef8af6d3a551e1b56a03a29e6
SHA1  : 1d59f1e6db7884a5e33c09396b0c7046b59b1f5e

File size : 465920 bytes

publisher….: iWin software
copyright….: (c) iwin Software.
product……: iWin software
description..: iWin
original name: iWin
internal name: iWin
file version.: 1.432.3
 
Como vemos solo lo detectan estos 8 AV:

Kaspersky 7.0.0.125 2010.12.23 Packed.Win32.Krap.ao
McAfee 5.400.0.1158 2010.12.23 Generic FakeAlert.am
Microsoft 1.6402 2010.12.23 Trojan:Win32/FakeSysdef
NOD32 5726 2010.12.22 a variant of Win32/Kryptik.JCY
Rising 22.79.02.04 2010.12.23 Packer.Win32.Agent.bk
Sophos 4.60.0 2010.12.23 Mal/FakeAV-EA
TrendMicro 9.120.0.1004 2010.12.23 TROJ_FAKEAL.SMEP
TrendMicro-HouseCall 9.120.0.1004 2010.12.23 TROJ_FAKEAL.SMEP

pero otros conocidos como AVAST, AVG, BitDefender, DrWeb, eSafe, eTrust, F-Prot, F-Secure, Fortinet, GData, y Symantec , entre otros, aun no lo controlan…

Recuerdese que cuando son mas peligrosos es cuando son novedosos, pues al no detectarlo muchos, es mas frecuente su propagacion.

AVISO IMPORTANTE : Estos troyanos se adquieren por la navegación a webs conocidas, en este caso nos han indicado que habia sido por entrar en la web de un conocido periodico, sin pedir descargas de ningun archivo… Se aprecia que parece que hacen un chequeo y acto seguido indican detectar fallos y proponen la herramienta de “reparación” que realmente es el malware.

Con el ELISTARA actual ya se detecta heuristicamente, y con la que subiremos hoy a nuestra web, ya se hará sobre esta variante especificamente.

saludos

ms, 23-12-2010