Nueva Variante de FAKE AV SECURITY TOOL, poco controlado y dificil de detectar si no se conoce

Un FAKE ALERT, de los de nombre variable, codigo variable y valor de clave variable, descargado por el Bredolab, además de un RootKit ZBOT de la serie SDRA64, nos ha hecho dar vueltas hasta que al final lo hemos desenmascarado y pasamos a controlarlo con la version de hoy del ELISTARA 20.44

Su nombre en esta ocasion era 64821223.EXE y ni con el HJT ni con el SPROCES ha sido visible, y con el McAfee RootKit detective no se veian ficheros en proceso oculto, y ni eliminando previamente el RootKit ZBOT con el ELISTARA, arrancando en modo seguro era imposible verlo, y en modo normal el falso antivirus indicaba que todo ejecutable estaba infectado…

Total, que tras arduos esfuerzos y con la colaboración del cliente, que ha sido decisiva, hemos conseguido, en modo normal, detectar la presencia del malware, al cual le hemos añadido extension .VIR y a partir del siguiente reinicio ya no se ha instalado en memoria el “maldito roedor” y nos lo han podido enviar para analizar y controlar en la proxima version de hoy del ELISTARA

Vemos que pocos antivirus lo concían hasta el momento, solo 12 de 42 segun el analisis del VirusTotal:

File 64821223.exe received on 2010.03.02 12:56:00 (UTC)

Result: 12/42 (28.58%)
 
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.03.02 –
AhnLab-V3 5.0.0.2 2010.03.02 –
AntiVir 8.2.1.176 2010.03.02 –
Antiy-AVL 2.0.3.7 2010.03.02 –
Authentium 5.2.0.5 2010.03.02 –
Avast 4.8.1351.0 2010.03.02 –
Avast5 5.0.332.0 2010.03.02 –
AVG 9.0.0.730 2010.03.02 –
BitDefender 7.2 2010.03.02 Gen:Heur.Krypt.4
CAT-QuickHeal 10.00 2010.03.02 –
ClamAV 0.96.0.0-git 2010.03.02 –
Comodo 4091 2010.02.28 –
DrWeb 5.0.1.12222 2010.03.02 Trojan.Fakealert.13544
eSafe 7.0.17.0 2010.03.01 –
eTrust-Vet 35.2.7335 2010.03.02 Win32/Fraud!packed
F-Prot 4.5.1.85 2010.03.02 –
F-Secure 9.0.15370.0 2010.03.02 Gen:Heur.Krypt.4
Fortinet 4.0.14.0 2010.02.28 –
GData 19 2010.03.02 Gen:Heur.Krypt.4
Ikarus T3.1.1.80.0 2010.03.02 –
Jiangmin 13.0.900 2010.03.02 –
K7AntiVirus 7.10.986 2010.03.01 –
Kaspersky 7.0.0.125 2010.03.02 Packed.Win32.Krap.ai
McAfee 5907 2010.03.01 –
McAfee+Artemis 5907 2010.03.01 –
McAfee-GW-Edition 6.8.5 2010.03.02 –
Microsoft 1.5502 2010.03.02 –
NOD32 4908 2010.03.02 a variant of Win32/Kryptik.CSD
Norman 6.04.08 2010.03.01 –
nProtect 2009.1.8.0 2010.03.02 –
Panda 10.0.2.2 2010.03.01 Trj/CI.A
PCTools 7.0.3.5 2010.03.02 RogueAntiSpyware.SecurityTool
Prevx 3.0 2010.03.02 –
Rising 22.37.01.04 2010.03.02 –
Sophos 4.50.0 2010.03.02 Mal/FakeVirPk-A
Sunbelt 5716 2010.03.01 –
Symantec 20091.2.0.41 2010.03.02 Trojan.FakeAV
TheHacker 6.5.1.7.218 2010.03.02 Trojan/Kryptik.csd
TrendMicro 9.120.0.1004 2010.03.02 –
VBA32 3.12.12.2 2010.03.02 –
ViRobot 2010.3.2.2208 2010.03.02 –
VirusBuster 5.0.27.0 2010.03.02 –
Additional information
File size: 1036288 bytes
MD5…: 4b3cea14d5c334605176a8496f476751
SHA1..: 1fe6498fef795757ef23e311e31fbd477a6e497f

Claro está que una vez conocido, indicando en nuestro ELIMD5 cualquiera de los los hashes indicados al final del analisis, ya moverá estos ficheros malwares a C:\muestras y tras reiniciar ya estarás aparcados los ficheros y el problema ! 🙂

Solo precisar que hasta el momento no lo detectan ninguno de estos antivirus tan conocidos:

AntiVir 8.2.1.176 2010.03.02 –
Avast 4.8.1351.0 2010.03.02 –
Avast5 5.0.332.0 2010.03.02 –
AVG 9.0.0.730 2010.03.02 –
Fortinet 4.0.14.0 2010.02.28 –
F-Prot 4.5.1.85 2010.03.02 –
McAfee 5907 2010.03.01 –
McAfee+Artemis 5907 2010.03.01 –
McAfee-GW-Edition 6.8.5 2010.03.02 –
Microsoft 1.5502 2010.03.02 –
Norman 6.04.08 2010.03.01 –
TrendMicro 9.120.0.1004 2010.03.02 –

Si bien desde VirusTotal se enviará la muestra a todos ellos, y se espera que será controlado en proximas actualizaciones

saludos

ms, 2-3-2010