Aluvion de variantes de Fake Alert Security Tool apenas controlado por los AV

Publicado el 10 noviembre 2010 ¬ 16:37 pmh.mscComentarios desactivados en Aluvion de variantes de Fake Alert Security Tool apenas controlado por los AV

 
Hoy han sido muchos los usuarios que se han visto atacados por este malware, adquirido como tantos Fake ALert port visitar webs infectadas o maliciosas

Solo 3 de 42 AV del VirusTotal lo controlan actualmente:

File name: 8FF672CA00ABFBF56EF012748A2103002B26A98A.exe
Submission date: 2010-11-09 20:50:09 (UTC)
Current status: finished
Result: 3 /42 (7.1%)
 VT Community

malware
 Safety score: 0.0% 
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.11.09.01 2010.11.09 –
AntiVir 7.10.13.196 2010.11.09 –
Antiy-AVL 2.0.3.7 2010.11.09 –
Authentium 5.2.0.5 2010.11.09 –
Avast 4.8.1351.0 2010.11.09 –
Avast5 5.0.594.0 2010.11.09 –
AVG 9.0.0.851 2010.11.09 –
BitDefender 7.2 2010.11.09 –
CAT-QuickHeal 11.00 2010.11.09 –
ClamAV 0.96.4.0 2010.11.09 –
Comodo 6664 2010.11.09 –
DrWeb 5.0.2.03300 2010.11.09 Trojan.Fakealert.19447
eSafe 7.0.17.0 2010.11.09 –
eTrust-Vet 36.1.7964 2010.11.09 –
F-Prot 4.6.2.117 2010.11.09 –
F-Secure 9.0.16160.0 2010.11.09 –
Fortinet 4.2.249.0 2010.11.09 –
GData 21 2010.11.09 –
Ikarus T3.1.1.90.0 2010.11.09 –
Jiangmin 13.0.900 2010.11.09 –
K7AntiVirus 9.67.2940 2010.11.09 –
Kaspersky 7.0.0.125 2010.11.09 –
McAfee 5.400.0.1158 2010.11.09 FakeAlert-SecurityTool.q
McAfee-GW-Edition 2010.1C 2010.11.09 –
Microsoft 1.6301 2010.11.09 –
NOD32 5605 2010.11.09 –
Norman 6.06.10 2010.11.09 –
nProtect 2010-11-09.01 2010.11.09 –
Panda 10.0.2.7 2010.11.09 –
PCTools 7.0.3.5 2010.11.09 –
Prevx 3.0 2010.11.09 –
Rising 22.73.00.04 2010.11.09 –
Sophos 4.59.0 2010.11.09 –
Sunbelt 7265 2010.11.09 FraudTool.Win32.RogueSecurity (v)
SUPERAntiSpyware 4.40.0.1006 2010.11.09 –
Symantec 20101.2.0.161 2010.11.09 –
TheHacker 6.7.0.1.081 2010.11.09 –
TrendMicro 9.120.0.1004 2010.11.09 –
TrendMicro-HouseCall 9.120.0.1004 2010.11.09 –
VBA32 3.12.14.1 2010.11.09 –
ViRobot 2010.10.30.4121 2010.11.09 –
VirusBuster 12.72.5.0 2010.11.09 –
Additional informationShow all 
MD5   : 24bbe8299600b5fd7484cadec742eea7
SHA1  : d79096dd4d36bb8562c4d9bff56e3240ebe13c04

File size : 1207808 bytes
A partir del ELISTARA de hoy 21.98 pasa a estar controlado
Tener presente los avisos del ELISTARA sobre posible ficheros sospechoso en Shell del Explorer. Si en el informe por Accion directa sale dicho mensaje, lanzar primero el ELISHELL y luego con el ELIMOVER copiar el fichero que figure lanzado en ella por el RUNDLL32.EXE a C:\muestras, marcando la casilla de renombrar a .VIR el fichero original, Y TRAS REINICIAR NORMALMENTE, ENVIARNOSLO PARA ANALIZAR Y CONTROLAR

Nombres de unas cuantas variantes al respecto:

1.drhg.ipo
2.rrrc.yeo
3.yise.ero
4.ufyw.gho
5.augy.vko
6.bqtj.xco
7.THXI.IXO
8.syce.xto
9.qqnt.bno
10.thxr.wgo
11.EJQG.QQO
12.jiuh.mjo
y unas cuantas de las claves que lanzan estos complementarios desde un RUNONCE:
  O4 – HKCU\..\RunOnce: [93610016] “C:\DOCUME~1\USUARI\CONFIG~1\DATOSD~1\93610016.exe” 0 46
O4 – HKCU\..\RunOnce: [9628112] “C:\DOCUME~1\usuario\CONFIG~1\DATOSD~1\9628112.exe” 0 21
O4 – HKCU\..\RunOnce: [2279859] “C:\DOCUME~1\usuario\CONFIG~1\DATOSD~1\2279859.exe” 0 44
O4 – HKCU\..\RunOnce: [3340958] “C:\DOCUME~1\usuario\CONFIG~1\DATOSD~1\3340958.exe” 0 38
O4 – HKCU\..\RunOnce: [65456536] “C:\DOCUME~1\usuario\CONFIG~1\DATOSD~1\65456536.exe” 0 26
O4 – HKCU\..\RunOnce: [977604337] “C:\DOCUME~1\usuario\CONFIG~1\DATOSD~1\977604337.exe” 0 33
O4 – HKCU\..\RunOnce: [898038] “C:\DOCUME~1\usuario\CONFIG~1\DATOSD~1\898038.exe” 0 45
O4 – HKCU\..\RunOnce: [752680] “C:\DOCUME~1\usuario\CONFIG~1\DATOSD~1\752680.exe” 0 20
O4 – HKCU\..\RunOnce: [64039609] “C:\DOCUME~1\usuario\CONFIG~1\DATOSD~1\64039609.exe” 0 27
O4 – HKCU\..\RunOnce: [145208] “C:\DOCUME~1\usuario\CONFIG~1\DATOSD~1\145208.exe” 0 25
O4 – HKCU\..\RunOnce: [9136487491] “C:\DOCUME~1\usuario\CONFIG~1\DATOSD~1\9136487491.exe” 0 21
O4 – HKCU\..\RunOnce: [039378341] “C:\DOCUME~1\usuario\CONFIG~1\DATOSD~139378341.exe” 0 32
O4 – HKCU\..\RunOnce: [10677] “C:\DOCUME~1\usuario\CONFIG~1\DATOSD~1\10677.exe” 0 30
O4 – HKCU\..\RunOnce: [1121722746] “C:\DOCUME~1\usuario\CONFIG~1\DATOSD~1\1121722746.exe” 0 33
O4 – HKCU\..\RunOnce: [5295592] “C:\DOCUME~1\usuario\CONFIG~1\DATOSD~1\5295592.exe” 0 26
O4 – HKCU\..\RunOnce: [285253255] “C:\DOCUME~1\usuario\CONFIG~1\DATOSD~1\285253255.exe” 0 25
O4 – HKCU\..\RunOnce: [918023461] “C:\DOCUME~1\Antonino\CONFIG~1\DATOSD~1\918023461.exe” 0 27

Se lanza desde los dos sitios, desde la clave del RUNONCE y desde el Shell del Explorer, siendo en ambos casos de nombres aleatorios y distintos cada vez, por lo que tan dificultoso es detectarlo.

Iremos pidiendo muestras de los sospechosos y controlando los que nos vayan llegando

saludos

ms, 10-11-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies