Nueva variante de FAKE… esta vez aparenta ser un WINDEFRAG y se pasa a controlar como FAKE TOOL WINDEFRAG

Una nueva variante de FAKE TOOL …  similar a sus parientes FAKE ULTRADEFRAGGER y FAKE TOOL WIN HDD ha sido detectada hoy por la heuristica de nuestro ELISTARA,

y pedido muestra para analizar, la cual en el preanalisis con el VirusTotal, ha dado este resultado:

File name: 189890.EXE.Muestra EliStartPage v22.12
Submission date: 2010-12-01 08:38:58 (UTC)
Current status: queued queued (#12) analysing finished
Result: 14/ 43 (32.6%)
 VT Community

not reviewed
 Safety score: – 
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.12.01.01 2010.11.30 Packed/Win32.Krap
AntiVir 7.10.14.155 2010.11.30 TR/Ag.cfx
Antiy-AVL 2.0.3.7 2010.12.01 –
Avast 4.8.1351.0 2010.11.30 –
Avast5 5.0.677.0 2010.11.30 –
AVG 9.0.0.851 2010.12.01 Cryptic.BJB
BitDefender 7.2 2010.12.01 Trojan.Generic.KDV.76942
CAT-QuickHeal 11.00 2010.12.01 (Suspicious) – DNAScan
ClamAV 0.96.4.0 2010.12.01 –
Command 5.2.11.5 2010.12.01 –
Comodo 6911 2010.12.01 –
DrWeb 5.0.2.03300 2010.12.01 –
Emsisoft 5.0.0.50 2010.12.01 –
eSafe 7.0.17.0 2010.11.29 –
eTrust-Vet 36.1.8011 2010.12.01 –
F-Prot 4.6.2.117 2010.11.30 –
F-Secure 9.0.16160.0 2010.12.01 Trojan.Generic.KDV.76942
Fortinet 4.2.254.0 2010.11.30 –
GData 21 2010.12.01 Trojan.Generic.KDV.76942
Ikarus T3.1.1.90.0 2010.12.01 –
Jiangmin 13.0.900 2010.12.01 –
K7AntiVirus 9.69.3126 2010.11.30 –
Kaspersky 7.0.0.125 2010.12.01 Packed.Win32.Krap.ao
McAfee 5.400.0.1158 2010.12.01 –
McAfee-GW-Edition 2010.1C 2010.12.01 –
Microsoft 1.6402 2010.12.01 Trojan:Win32/FakeSysdef
NOD32 5662 2010.11.30 a variant of Win32/Kryptik.INX
Norman 6.06.10 2010.11.30 –
nProtect 2010-12-01.01 2010.12.01 Trojan.Generic.KDV.76942
Panda 10.0.2.7 2010.11.30 Trj/CI.A
PCTools 7.0.3.5 2010.12.01 –
Prevx 3.0 2010.12.01 –
Rising 22.76.01.07 2010.12.01 –
Sophos 4.60.0 2010.11.30 Troj/FakeAV-CCD
SUPERAntiSpyware 4.40.0.1006 2010.12.01 –
Symantec 20101.2.0.161 2010.12.01 –
TheHacker 6.7.0.1.093 2010.11.30 –
TrendMicro 9.120.0.1004 2010.12.01 –
TrendMicro-HouseCall 9.120.0.1004 2010.12.01 –
VBA32 3.12.14.2 2010.11.30 –
VIPRE 7462 2010.12.01 Trojan.Win32.Generic.pak!cobra
ViRobot 2010.12.1.4178 2010.12.01 –
VirusBuster 13.6.67.6 2010.11.30 –
Additional informationShow all 
MD5   : 29a741becd9d7960b55b538d4e90a37c
SHA1  : 55ca0ac905de463bf3370041f9f0af027f03685c
publisher….: Microsoft Corporation
copyright….: (c) 2009 Microsoft Corporation. All rights reserved
product……: Microsoft Security Essentials
description..: Microsoft Security Essentials User Interface
original name: msseces
internal name: msseces
file version.: 1.0.2498.0
 

Es una nueva variante de los ya conocidos FAKE ULTRADEFRAGGER  y FAKE WIN TOOL HDD , de los que ya hemos hablado en varias noticias del blog:

https://blog.satinfo.es/?p=8028

https://blog.satinfo.es/?p=8073

https://blog.satinfo.es/?p=8075
https://blog.satinfo.es/?p=8609

pero de momento de este solo hemos recibido el EXE resultante de la ejecucion del dropper, y nO conocemos aun cual es dicho dropper ni la DLL que suponemos va a incordiar, al igual en los otros dos anteriores de la misma “familia”
Vease en el informe superior del VirusTotal, que en Propiedades figura ser (falsamente) de “Microsoft Security Essentials”  y que de momento solo lo controlan actualmente 14 de los 43 AV, debido a ser muy nuevo, pero que la heuristica del ELISTARA ya ha cazado, y gracias a ello ya procedemos a controlarlo.

Se ha pedido al usuario infectado que nos remita el informe generado por nuestro SPROCES.EXE y asi poder ver el fichero donde se oculta el dropper y la DLL acompañante, para pedir muestra de ellos y que nos las envien, tras lo cual procederemos a controlar totalmente dicha nueva variante.

Posiblemente en el ELISTARA 22.13 de hoy ya se controlará todo ello, en función de que nos lleguen las nuevas muestras  indicadas.

saludos

ms, 1-12-2010