Nueva variante de Keylogger que se oculta en un WINLOGON.EXE detectado heuristicamente por el ELISTARA
Una nueva variante de Keylogger que llega bajo el nombre de WINLOGON.EXE con icono de carpeta, oculta ficheros, y pone en el egistro de sistema, la clasificacion de CARPETA en los archivos EXEFILE, como valor predeterminado, en lugar del de APLICACION
File name: WINLOGON.EXE.Muestra EliStartPage v21.90
Submission date: 2010-10-29 10:09:29 (UTC)
Current status: finished
Result: 25 /37 (67.6%)
VT Community
malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.10.29.00 2010.10.28 Win-Trojan/Keylogger.112008
AntiVir 7.10.13.69 2010.10.29 TR/Award.65024
Antiy-AVL 2.0.3.7 2010.10.29 Trojan/Win32.VB.gen
Authentium 5.2.0.5 2010.10.29 –
Avast 4.8.1351.0 2010.10.29 Win32:VB-FMM
Avast5 5.0.594.0 2010.10.29 Win32:VB-FMM
CAT-QuickHeal 11.00 2010.10.26 Trojan.VB.avk
ClamAV 0.96.2.0-git 2010.10.29 –
Comodo 6548 2010.10.29 –
DrWeb 5.0.2.03300 2010.10.29 Trojan.Keylog.110
Emsisoft 5.0.0.50 2010.10.29 Worm.Win32.VB!IK
eSafe 7.0.17.0 2010.10.28 –
eTrust-Vet 36.1.7942 2010.10.29 Win32/Fexper.A
F-Prot 4.6.2.117 2010.10.28 –
Fortinet 4.2.249.0 2010.10.29 –
Ikarus T3.1.1.90.0 2010.10.29 Worm.Win32.VB
Jiangmin 13.0.900 2010.10.29 Trojan/VB.ktk
K7AntiVirus 9.67.2856 2010.10.28 –
Kaspersky 7.0.0.125 2010.10.29 Trojan.Win32.VB.avk
McAfee 5.400.0.1158 2010.10.29 Generic Keylogger.g
McAfee-GW-Edition 2010.1C 2010.10.29 Heuristic.LooksLike.Win32.Suspicious.J!87
NOD32 5574 2010.10.29 a variant of Win32/Spy.KeyLogger.NCJ
Norman 6.06.10 2010.10.29 W32/Obfuscated.H3!genr
Panda 10.0.2.7 2010.10.29 Trj/Keylogger.BQ
PCTools 7.0.3.5 2010.10.29 Trojan-PSW.Generic
Prevx 3.0 2010.10.29 –
Rising 22.71.03.02 2010.10.29 Trojan.Spy.Win32.KeyLogger.bq
Sophos 4.59.0 2010.10.29 –
Sunbelt 7163 2010.10.29 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.10.29 –
Symantec 20101.2.0.161 2010.10.29 Infostealer
TheHacker 6.7.0.1.073 2010.10.28 –
TrendMicro 9.120.0.1004 2010.10.28 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.10.29 –
VBA32 3.12.14.1 2010.10.28 Trojan-Spy.VB.Keylggr.53
ViRobot 2010.10.25.4110 2010.10.29 Trojan.Win32.VB.112008.B
VirusBuster 12.70.10.0 2010.10.28 TrojanSpy.Vwealer.BGW
Additional informationShow all
MD5 : 19605d409d6e2fcba4d70d3ec7ea2226
SHA1 : 05fb5cc6eb6d58dd575d525c3d0b937a1a1b4e19
File size : 112008 bytes
publisher….: n/a
copyright….: n/a
product……: UserInit
description..: n/a
original name: Copia de explorer.exe
internal name: Copia de explorer
file version.: 0.00.0050
Cabe destacar que actualmente aun no lo detectan estos 12 AV:
Authentium 5.2.0.5 2010.10.29 –
ClamAV 0.96.2.0-git 2010.10.29 –
Comodo 6548 2010.10.29 –
eSafe 7.0.17.0 2010.10.28 –
F-Prot 4.6.2.117 2010.10.28 –
Fortinet 4.2.249.0 2010.10.29 –
K7AntiVirus 9.67.2856 2010.10.28 –
Prevx 3.0 2010.10.29 –
Sophos 4.59.0 2010.10.29 –
SUPERAntiSpyware 4.40.0.1006 2010.10.29 –
TheHacker 6.7.0.1.073 2010.10.28 –
TrendMicro-HouseCall 9.120.0.1004 2010.10.29 –
A partir del ELISTARA 21.92 SE DETECTA Y ELIMINA, restableciendo en el registro de sistema la clasificacion de APLICACION en los archivos EXEFILE, como valor predeterminado, en lugar del de CARPETA que el malware ha modificado
saludos
ms, 2-11-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.