Nueva variante de FAKE AV que pasamos a controlar como FAKE AV LIVE PC CARE desde ELISTARA 20.72
El nuevo FAKE AV LIVE PC CARE igual que su primo hermano FAKE AV CLEANUP goza de una especial caracteristica en el HOSTS, y es que aun despues de eliminar el bicho con el ELISTARA, dicho fichero HOSTS queda atrapado sin poderlo eliminar ni sobreescribir, y su contenido persiste, redireccionado Google.com (y otras URL de Google) y Yahoo.com (y otras), de forma que no se pueda acceder a dichos navegadores.
***.***.***.*** www.google.com
***.***.***.*** google.com
***.***.***.*** google.com.au
***.***.***.*** www.google.com.au
***.***.***.*** google.be
***.***.***.*** www.google.be
***.***.***.*** google.com.br
***.***.***.*** www.google.com.br
***.***.***.*** google.ca
***.***.***.*** www.google.ca
***.***.***.*** google.ch
***.***.***.*** www.google.ch
***.***.***.*** google.de
***.***.***.*** www.google.de
***.***.***.*** google.dk
***.***.***.*** www.google.dk
***.***.***.*** google.fr
***.***.***.*** www.google.fr
***.***.***.*** google.ie
***.***.***.*** www.google.ie
***.***.***.*** google.it
***.***.***.*** www.google.it
***.***.***.*** google.co.jp
***.***.***.*** www.google.co.jp
***.***.***.*** google.nl
***.***.***.*** www.google.nl
***.***.***.*** google.no
***.***.***.*** www.google.no
***.***.***.*** google.co.nz
***.***.***.*** www.google.co.nz
***.***.***.*** google.pl
***.***.***.*** www.google.pl
***.***.***.*** google.se
***.***.***.*** www.google.se
***.***.***.*** google.co.uk
***.***.***.*** www.google.co.uk
***.***.***.*** google.co.za
***.***.***.*** www.google.co.za
***.***.***.*** www.google-analytics.com
***.***.***.*** www.bing.com
***.***.***.*** search.yahoo.com
***.***.***.*** www.search.yahoo.com
***.***.***.*** uk.search.yahoo.com
***.***.***.*** ca.search.yahoo.com
***.***.***.*** de.search.yahoo.com
***.***.***.*** fr.search.yahoo.com
***.***.***.*** au.search.yahoo.com
Curiosamente el autor del virus se ha olvidado de Google.es, asi que los usuarios de habla hispana que lo usan, no se ven afectados.
Para poder liberar dicho HOSTS, se ha de arrastrar dicho fichero al escritorio, y renombrar el HOSTS.tmp que ha creado nuestra utilidad EliStarA en …\drivers\etc\ a HOSTS sin la extension .tmp, y eliminar el HOSTS del escritorio movido manualmente.
Con el ELISTARA 20.72 se controlan ambas variantes, ademas de otros tropecientos FAKES AV’s incluidos los recientes FAKE AV SECURITY SUITE.
Y de las nuevas variantes que no se conozcan, el ELISTARA las detectará heurísticamente pidiendo muestra para analizar y controlar, como ha sido el caso de la última recibida al respecto: LP693F.EXE.Muestra EliStartPage
(tener en cuenta que en cada infección el fichero va cambiando de nombre …)
saludos
ms, 14-4-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.