CONTROLADO NUEVO FAKE AV QUE OFRECE CINCO APARENTES AV A ESCOGER : FAKE AVMSEA

Un nuevo FAKE AV o Rogue hace su aparicion, aparentando ser un aviso de MICROSOFT SECURITY ESSENTIALS ALERT y detectar un desconocido malware, “Unknow Win32 /Trojan

En este caso el falso antivirus presenta una pantalla como si se tratara de un analisis con el VirusTotal, en el que aparecen 5 Fakes AV que detectan malwares, y permite descargarlos. Son justamente los malwares !

Los demás, de conocidas marcas, no detectan dichos malwares, y si el usuario decide escojer uno de los demas,

Y si se pulsa CTRL ALT SUP para detener procesos, resulta que está interceptado y visualiza esta pantalla:

Actualmente lo controlan la mitad de los antivirus del VIRUSTOTAL, a saber:

File name: ANTISPY.EXE
Submission date: 2010-09-16 10:02:29 (UTC)
Current status: queued (#2) queued (#3) analysing finished
Result: 22/ 43 (51.2%)
 VT Community

not reviewed
 Safety score: – 
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.09.16.01 2010.09.16 Trojan/Win32.FakeAV
AntiVir 8.2.4.52 2010.09.16 TR/FakeAler.MSE.2.A
Antiy-AVL 2.0.3.7 2010.09.16 Trojan/Win32.FakeAV
Authentium 5.2.0.5 2010.09.16 –
Avast 4.8.1351.0 2010.09.16 Win32:FakeAlert-PO
Avast5 5.0.594.0 2010.09.16 Win32:FakeAlert-PO
AVG 9.0.0.851 2010.09.15 FakeAlert.UF
BitDefender 7.2 2010.09.16 Trojan.FakeAV.LEL
CAT-QuickHeal 11.00 2010.09.16 –
ClamAV 0.96.2.0-git 2010.09.16 –
Comodo 6096 2010.09.16 –
DrWeb 5.0.2.03300 2010.09.16 Trojan.Fakealert.18968
Emsisoft 5.0.0.37 2010.09.16 –
eSafe 7.0.17.0 2010.09.15 –
eTrust-Vet 36.1.7859 2010.09.16 –
F-Prot 4.6.1.107 2010.09.16 –
F-Secure 9.0.15370.0 2010.09.16 Trojan.FakeAV.LEL
Fortinet 4.1.143.0 2010.09.16 –
GData 21 2010.09.16 Trojan.FakeAV.LEL
Ikarus T3.1.1.88.0 2010.09.16 –
Jiangmin 13.0.900 2010.09.16 –
K7AntiVirus 9.63.2522 2010.09.15 –
Kaspersky 7.0.0.125 2010.09.16 Trojan.Win32.FakeAV.flx
McAfee 5.400.0.1158 2010.09.16 Generic.dx!tvg
McAfee-GW-Edition 2010.1C 2010.09.16 Heuristic.BehavesLike.Win32.Malware.313.D
Microsoft 1.6103 2010.09.16 Rogue:Win32/FakePAV
NOD32 5454 2010.09.16 a variant of Win32/TrojanDownloader.FakeAlert.BDE
Norman 6.06.06 2010.09.15 W32/FakeAV.CM!genr
nProtect 2010-09-16.02 2010.09.16 Trojan/W32.FakeAV.642048.G
Panda 10.0.2.7 2010.09.15 Suspicious file
PCTools 7.0.3.5 2010.09.16 –
Prevx 3.0 2010.09.16 Medium Risk Malware
Rising 22.65.03.01 2010.09.16 –
Sophos 4.57.0 2010.09.16 Mal/Generic-L
Sunbelt 6882 2010.09.16 Trojan.Win32.Generic.pak!cobra
SUPERAntiSpyware 4.40.0.1006 2010.09.16 –
Symantec 20101.1.1.7 2010.09.16 –
TheHacker 6.7.0.0.020 2010.09.16 Trojan/FakeAV.fmo
TrendMicro 9.120.0.1004 2010.09.16 –
TrendMicro-HouseCall 9.120.0.1004 2010.09.16 –
VBA32 3.12.14.0 2010.09.15 –
ViRobot 2010.8.25.4006 2010.09.16 –
VirusBuster 12.65.8.0 2010.09.15 –
Additional informationShow all 
MD5   : bb207c57668a85c756014a38efd64651
SHA1  : 9a127874c8772a03a9794c94bfa2c379ecb8158b

. 

y sus caracteristicas principales son::
– Queda residente. (un escudo al lado del reloj de Windows)

– Impide la ejecución del Editor del Registro, el Administrador de Tareas,
  el CMD

– Al pulsar “Scan Online”, despues de haber pulsado “Clean Computer” ó
  “Apply actions”, da la opción de eligir entre 5 AntiVirus

– Al elegir uno de ellos, simula la descarga e instalacion. Lo que hace
  es mostrar los mensajes en relación al AntiVirus elegido.

  “AntiSpy Safeguard”, “Mayor Defense Kit”, “Peak Protection”,
  “Pest Detector” o “Red Cross” (Imagen 3)

y el fichero “gusano” lo crea en   %Datos de Programa%\ ANTISPY.EXE

Con el ELISTARA 21.63 de hoy ya controlaremos tanto el FAKE BASICO como las 5 variantes que puede instalar este nuevo engendro!

saludos

ms, 16-9-2010