Aparte de los FAKE ALERT (Falsos ANTIVIRUS) ahora proliferan los FAKE TOOLS (Falsas Utilidades para el Disco Duro)

Ya eran 4 las principales familias de los FAKE TOOLS, a saber :

FAKE TOOL WIN HDD
FAKE ULTRADEFRAGGER
FAKE TOOL WINDEFRAG
FAKE TOOL WIN DEFRAGMENTER

Pues ayer apareció una nueva que se hace llamar DISKREPAIR, por lo que la lista anterior pasa a ser incrementada con la gama de

FAKE TOOL DISKREPAIR

Básicamente es mas de lo mismo, pero cambiando respecto al último el que en lugar de usar números para los nombres de ficheros usa letras aleatorias y que la ubicación de los mismos es en diferente carpeta.

\%Datos de programa%\jleEjKNDDi.exe    (Dropper)
\%Datos de programa%\ctnKGbMoGI.dll    (la causante del incordio)
\%Datos de programa%\yIQ8TbLAn6iyw.exe (DiskRepair)

(los nombres de los ficheros son a título de ejemplo)

En la barra de tareas aparecen dos iconos:  (Triangulo amarillo con signo de admiracion y el de DiskRepair)
Como ya se indicaba ayer en la Noticia de la deteccion y control inicial, eran pocos los AV que lo controlaban, por ejemplo a la DLL solo 10 de 43:

File name: ctnKGbMoGI.dll
Submission date: 2010-12-21 13:03:21 (UTC)
Current status: finished
Result: 10 /43 (23.3%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.12.21.03 2010.12.21 –
AntiVir 7.11.0.117 2010.12.21 –
Antiy-AVL 2.0.3.7 2010.12.21 –
Avast 4.8.1351.0 2010.12.21 Win32:FakeSysdef-G
Avast5 5.0.677.0 2010.12.21 Win32:FakeSysdef-G
AVG 9.0.0.851 2010.12.21 –
BitDefender 7.2 2010.12.21 Gen:Variant.Kazy.6275
CAT-QuickHeal 11.00 2010.12.21 –
ClamAV 0.96.4.0 2010.12.21 –
Command 5.2.11.5 2010.12.21 –
Comodo 7135 2010.12.21 –
DrWeb 5.0.2.03300 2010.12.21 –
Emsisoft 5.1.0.1 2010.12.21 –
eSafe 7.0.17.0 2010.12.19 –
eTrust-Vet 36.1.8052 2010.12.21 –
F-Prot 4.6.2.117 2010.12.20 –
F-Secure 9.0.16160.0 2010.12.21 Gen:Variant.Kazy.6275
Fortinet 4.2.254.0 2010.12.21 W32/Krap.GAO!tr
GData 21 2010.12.21 Gen:Variant.Kazy.6275
Ikarus T3.1.1.90.0 2010.12.21 –
Jiangmin 13.0.900 2010.12.21 –
K7AntiVirus 9.73.3296 2010.12.20 –
Kaspersky 7.0.0.125 2010.12.21 Packed.Win32.Krap.ao
McAfee 5.400.0.1158 2010.12.21 –
McAfee-GW-Edition 2010.1C 2010.12.21 –
Microsoft 1.6402 2010.12.21 –
NOD32 5720 2010.12.21 a variant of Win32/Kryptik.JBF
Norman 6.06.12 2010.12.21 –
nProtect 2010-12-21.01 2010.12.21 –
Panda 10.0.2.7 2010.12.20 Suspicious file
PCTools 7.0.3.5 2010.12.21 –
Prevx 3.0 2010.12.21 –
Rising 22.79.00.04 2010.12.21 –
Sophos 4.60.0 2010.12.21 –
SUPERAntiSpyware 4.40.0.1006 2010.12.21 Trojan.Agent/Gen-FakeSoft
Symantec 20101.3.0.103 2010.12.21 –
TheHacker 6.7.0.1.104 2010.12.21 –
TrendMicro 9.120.0.1004 2010.12.21 –
TrendMicro-HouseCall 9.120.0.1004 2010.12.21 –
VBA32 3.12.14.2 2010.12.20 –
VIPRE 7744 2010.12.21 –
ViRobot 2010.12.20.4210 2010.12.21 –
VirusBuster 13.6.105.1 2010.12.21 –
Additional informationShow all
MD5 : c929dc8543bfa9ce503a6bd17bb0adaf
SHA1 : 56dd5a30f2cf9cc27658b5e2be1d60b940b4749a

File size : 458752 bytes

publisher….: MediaPlayer software
copyright….: (c) MediaPlayer Software.
product……: MediaPlayer software
description..: mediaplayer
original name: mediaplay
internal name: mediaplayer
file version.: 4747
Mientras que hoy ya son 18 de 43 (casi el doble), gracias al envio de muestras, entre los que cabe mencionar han pasado a detectarlo McAFee, AVG, Ikarus, Norman, Sophos, entre otros

File name: ctnKGbMoGI.dll
Submission date: 2010-12-22 08:59:17 (UTC)
Current status: queued queued (#7) analysing finished
Result: 18/ 43 (41.9%)
 VT Community

malware
 Safety score: 0.0% 
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.12.22.00 2010.12.21 –
AntiVir 7.11.0.138 2010.12.21 –
Antiy-AVL 2.0.3.7 2010.12.22 –
Avast 4.8.1351.0 2010.12.21 Win32:FakeSysdef-G
Avast5 5.0.677.0 2010.12.21 Win32:FakeSysdef-G
AVG 9.0.0.851 2010.12.22 Cryptic.BRC
BitDefender 7.2 2010.12.22 Gen:Variant.Kazy.6275
CAT-QuickHeal 11.00 2010.12.22 –
ClamAV 0.96.4.0 2010.12.22 –
Command 5.2.11.5 2010.12.22 –
Comodo 7146 2010.12.22 –
DrWeb 5.0.2.03300 2010.12.22 –
Emsisoft 5.1.0.1 2010.12.22 Packed.Win32.Krap!IK
eSafe 7.0.17.0 2010.12.21 –
eTrust-Vet 36.1.8054 2010.12.22 –
F-Prot 4.6.2.117 2010.12.21 –
F-Secure 9.0.16160.0 2010.12.22 Gen:Variant.Kazy.6275
Fortinet 4.2.254.0 2010.12.21 W32/Krap.GAO!tr
GData 21 2010.12.22 Gen:Variant.Kazy.6275
Ikarus T3.1.1.90.0 2010.12.22 Packed.Win32.Krap
Jiangmin 13.0.900 2010.12.22 –
K7AntiVirus 9.74.3308 2010.12.21 –
Kaspersky 7.0.0.125 2010.12.22 Packed.Win32.Krap.ao
McAfee 5.400.0.1158 2010.12.22 Artemis!C929DC8543BF
McAfee-GW-Edition 2010.1C 2010.12.22 Artemis!C929DC8543BF
Microsoft 1.6402 2010.12.22 –
NOD32 5723 2010.12.21 a variant of Win32/Kryptik.JBF
Norman 6.06.12 2010.12.21 W32/FakeSysdef.K
nProtect 2010-12-21.01 2010.12.21 –
Panda 10.0.2.7 2010.12.21 Trj/CI.A
PCTools 7.0.3.5 2010.12.22 –
Prevx 3.0 2010.12.22 –
Rising 22.79.01.03 2010.12.22 –
Sophos 4.60.0 2010.12.22 Mal/FakeAV-EA
SUPERAntiSpyware 4.40.0.1006 2010.12.22 Trojan.Agent/Gen-FakeSoft
Symantec 20101.3.0.103 2010.12.22 –
TheHacker 6.7.0.1.104 2010.12.21 –
TrendMicro 9.120.0.1004 2010.12.22 –
TrendMicro-HouseCall 9.120.0.1004 2010.12.22 –
VBA32 3.12.14.2 2010.12.21 –
VIPRE 7755 2010.12.22 Trojan.Win32.Generic!BT
ViRobot 2010.12.22.4213 2010.12.22 –
VirusBuster 13.6.106.0 2010.12.21 –
Additional informationShow all 
MD5   : c929dc8543bfa9ce503a6bd17bb0adaf
SHA1  : 56dd5a30f2cf9cc27658b5e2be1d60b940b4749a
Pero siguen sin detectarlo todavía, otros conocidos como ANTIVIR, DrWeb, ESafe, E-Trust, FG-PROT, Microsoft, Symantec y Trend, entre otros.
Como sea que es un incordio trabajar con el ordenador infectado con estos malwares, sugerimos arrancar EN MODO SEGURO CON SOLO SIMBOLO DE SISTEMA para lanzar en dicho modo el ELISTARA, que asi lo detectará y eliminará sin problemas

Además heuristicamente pedirá nuevas muestras de las variantes que vayan apareciendo de dichos malwares, y asi poder irlos controlando en siguientes versiones.

Con la versión de hoy del ELISTARA 22.25 , hemos ultimado los detalles para su correcta detección, control y eliminación de los conocidos y aparcado a C:\muestras y solicitud de ellas de los sospèchosos para analizar y controlar en siguientes versiones.

Y parece que le han tomado gusto a las falsas utilidades, como ya desde hace tiempo lo han hecho con los falsos antivirus…

saludos

ms, 22-12-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies