La actual moda de los virus AUTORUN y demas que se propagan por pendrive, alcanza el 25% de los nuevos virus y los nuevos que lanzan .VBS en el AUTORUN.INF
Desde hace tres o cuatro años ha ido proliferando el que los virus, tanto si se reciben en ficheros anexados a mails, o descargados de webs de internet, como si entran por IP, como el Conficker, infectan pendrives, que luego los propagan a los ordenadores en los cuales se acceda a dichas unidades, aunque no se ejecute voluntariamente nada, debido al AUTORUN.INF , lo cual ya controlamos tanto en los ordenadores, como en los pendrives, con el ELIPEN, sea cual sea la variante, incluso las nuevas desconocidas por los antivirus, pero a pesar de ello son muchos los usuarios que no están protegidos por dicha “vacuna” y tambien muchos los nuevos engendros que aparecen a diario, siendo segun últimos datos un 25 % de los nuevos virus que aparecen actualmente los que utilizan dicha tecnica:
[Enlace Retirado]
Actualmente recibinos diariamente nuevas variantes de dicho tipo, cuyo control y eliminacion vamos implementando en el ELISTARA, pero de entre ellos sobresalen dos con nuevas caracteristicas, la ejecucion de ficheros .VBS, a través del WSCRIPT.EXE, claro.
Y de ellos cabe mencionar uno instructor, que indica como hacer variantes de él mismo, explicandolo paso a paso en su código, el AUTORUN.VBS.MICHELLE, que mas vale no comentarlo para que no promocionar seguidores…, y que ya controlamos desde el ELISTARA 21.48 de ayer, y ahora terminamos de controlar otro del mismo tipo VBS, que utiliza el fuckOffice.vbs , y que controlamos totalmente con el ELISTARA 21.49 de hoy, que estará disponible a partir de las 15 horas.
Este último es destructivo, pues “fuckea” todos los ficheros de todas las unidades fijas y removibles, que tengan extensión DOC, DOCX, XLS, XLSX, PPT, PPTX, MDB y ACCDB sobreescribiendolas con el texto “You are Fucked xD”.
En definitiva, que corrompe todos los documentos de Office, lo cual es dañino Y QUE PUEDE SER MUY PERJUDICUAL EN LA MAYORIA DE LOS CASOS !
El analisis con el Virus Total nos indica existe un 39 % de antivirus que lo controlan actualmente
File name: FuckOffice vbs
Submission date: 2010-08-27 07:30:02 (UTC)
Current status: queued queued analysing finished
Result: 16/ 41 (39.0%)
VT Community
not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.08.27.00 2010.08.26 –
AntiVir 8.2.4.46 2010.08.26 HTML/Rce.Gen
Antiy-AVL 2.0.3.7 2010.08.26 –
Authentium 5.2.0.5 2010.08.27 VBS/Autorun.BP
Avast 4.8.1351.0 2010.08.26 –
Avast5 5.0.594.0 2010.08.26 VBS:AutoRun-gen
AVG 9.0.0.851 2010.08.26 JS/Generic
BitDefender 7.2 2010.08.27 Generic.ScriptWorm.B54FBF6C
CAT-QuickHeal 11.00 2010.08.27 –
ClamAV 0.96.2.0-git 2010.08.27 VBS.SSIWG
Comodo 5873 2010.08.27 –
DrWeb 5.0.2.03300 2010.08.27 SCRIPT.Virus
Emsisoft 5.0.0.37 2010.08.27 Win32.SuspectCrc!IK
eSafe 7.0.17.0 2010.08.26 –
eTrust-Vet 36.1.7820 2010.08.27 –
F-Prot 4.6.1.107 2010.08.26 VBS/Autorun.BP
F-Secure 9.0.15370.0 2010.08.27 Generic.ScriptWorm.B54FBF6C
Fortinet 4.1.143.0 2010.08.26 –
GData 21 2010.08.27 Generic.ScriptWorm.B54FBF6C
Ikarus T3.1.1.88.0 2010.08.27 Win32.SuspectCrc
Jiangmin 13.0.900 2010.08.27 –
Kaspersky 7.0.0.125 2010.08.27 –
McAfee 5.400.0.1158 2010.08.27 New Script
Microsoft 1.6103 2010.08.27 –
NOD32 5400 2010.08.26 VBS/AutoRun.FF
Norman 6.05.11 2010.08.26 –
nProtect 2010-08-27.01 2010.08.27 Generic.ScriptWorm.B54FBF6C
Panda 10.0.2.7 2010.08.26 –
PCTools 7.0.3.5 2010.08.27 –
Prevx 3.0 2010.08.27 –
Rising 22.62.04.01 2010.08.27 –
Sophos 4.56.0 2010.08.27 VBS/Runauto-C
Sunbelt 6800 2010.08.27 –
SUPERAntiSpyware 4.40.0.1006 2010.08.27 –
Symantec 20101.1.1.7 2010.08.27 –
TheHacker 6.5.2.1.356 2010.08.26 –
TrendMicro 9.120.0.1004 2010.08.27 –
TrendMicro-HouseCall 9.120.0.1004 2010.08.27 –
VBA32 3.12.14.0 2010.08.25 –
ViRobot 2010.8.27.4010 2010.08.27 –
VirusBuster 5.0.27.0 2010.08.26 –
Additional informationShow all
MD5 : c811899a2ee1473861adf4dd9f75f027
SHA1 : 823915a5bf74935a20ffff612a359d545a2ab5bb
Lo pasamos a detectar y eliminar como AUTORUN.FUCKOFFICE a partir del ELISTARA 21.49 de hoy
saludos
ms, 27-8-2010
NOTA: Como siempre, recomendamos vacunar ordenadores y pendrives con el ELIPEN.EXE para evitar la propagacion de este tipo de virus vía pendrive.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.