Nueva variante de troyano AUTOIT V3, que impide arrancar el ordenador si el fichero se ha eliminado con algun antivirus.
Al estilo de otro troyano que cambiaba el lanzamiento del USERINIT.EXE por el de un WINLOGON32.EXE o WINLOGON86.EXE, segun variante de los “FAKE AV INTERNET SECUTUIRY 2010” y “AVANCED VIRUS REMOVER 2010” respectivamente, en este caso un fichero de nombre MISSAU.EXE , que es lanzado desde el registro en cada reinicio, y que despues de cargar el virus en memoria luego ejecutará el USERINIT.EXE, pero que si se borra el fichero malware, no se ejecuta el USERINIT y el ortdenador no inicia windows.
Además, en los pendrive oculta las carpetas con atributo de S y H y en su lugar crea un fichero con el mismo nombre de la carpeta ocultada, pero con el añadido .EXE (que no se ve si no se tiene configurado ver extensiones de ficheros y carpetas), y con el mismo icono de carpeta que la carpeta real, para que asi el usuario al querer entrar en la carpeta pulsando doble click sobre el icono, lo que haga sea ejecutar el malware.
Con el ELISTARA de hoy 21.80, pasamos a detectar y eliminar dicho malware, pero no solo eliminamos el fichero en cuestion, sino que restauramos la clave de registro que lo llama, y además restauramos las carpetas ocultadas devolviendo la normalidad al ordenador y a los pendrives alterados.
Si alguien ha utilizado un antivirus que le ha borrado dicho fichero sin mas, se queda “frito” sin posibilidad de arrancar desde el disco duro, y entonces, al igual que ya hacemos para los troyanos arriba indicados, se debe arrancar con un CD de instalación y copiar el fichero USERINIT.EXE de la carpeta c:\windows\system32\ al que llamará el registro en el inicio, con el nombre que quiere el troyano, que en este caso será MISSAU.EXE, con lo que arrancará normalmente. Tras ello lanzar el ELISTARA para terminar el proceso. Por si hubiera sido cualquiera de los otros dos, el nombre del fichero con el que copiar (no renombrer !!!) el USERINIT.EXE sería WINLOGON32.EXE o WINLOGON86.EXE
Si no se ha hecho con el ELISTARA indicado, las carpetas ocultadas en los pendrives deberán ser restauradas desde una ventana al DOS, con un ATTRIB -S -H ya que desde windows no se puede cambiar el atributo de sistema.
Muchos antivirus ya lo detectan, pero lo que les ocurra a sus usuarios, dependerá de que la restauración sea completa como la del ELISTARA o parcial, en cuyo caso ya saben que pueden hacer lo arriba indicado.
File name: Autorun.inf.exe
Submission date: 2010-10-14 10:00:18 (UTC)
Result: 39 /43 (90.7%)
VT Community
malware
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.10.14.01 2010.10.14 Win-Trojan/Xema.variant
AntiVir 7.10.12.209 2010.10.14 DR/Dldr.AutoIt.LQ
Antiy-AVL 2.0.3.7 2010.10.14 –
Authentium 5.2.0.5 2010.10.14 W32/Trojan2.MYXK
Avast 4.8.1351.0 2010.10.14 BV:Malware-gen
Avast5 5.0.594.0 2010.10.14 BV:Malware-gen
AVG 9.0.0.851 2010.10.13 Generic_c.BZMH
BitDefender 7.2 2010.10.14 Gen:Trojan.Heur.pmLfrzBHzSaib
CAT-QuickHeal 11.00 2010.10.14 TrojanDownloader.AutoIt.lq
ClamAV 0.96.2.0-git 2010.10.14 –
Comodo 6386 2010.10.14 Heur.Suspicious
DrWeb 5.0.2.03300 2010.10.14 Trojan.DownLoad1.53716
Emsisoft 5.0.0.50 2010.10.14 Worm.Autoit!IK
eSafe 7.0.17.0 2010.10.12 Win32.YahLover.Worm
eTrust-Vet 36.1.7910 2010.10.14 –
F-Prot 4.6.2.117 2010.10.13 W32/Trojan2.MYXK
F-Secure 9.0.15370.0 2010.10.14 Gen:Trojan.Heur.pmLfrzBHzSaib
Fortinet 4.2.249.0 2010.10.14 W32/Sohana.A!worm
GData 21 2010.10.14 Gen:Trojan.Heur.pmLfrzBHzSaib
Ikarus T3.1.1.90.0 2010.10.14 Worm.Autoit
Jiangmin 13.0.900 2010.10.14 TrojanDownloader.AutoIt.ch
K7AntiVirus 9.65.2742 2010.10.13 Trojan
Kaspersky 7.0.0.125 2010.10.14 Trojan-Downloader.Win32.AutoIt.lq
McAfee 5.400.0.1158 2010.10.14 W32/YahLover.worm.gen
McAfee-GW-Edition 2010.1C 2010.10.14 W32/YahLover.worm.gen
Microsoft 1.6201 2010.10.14 TrojanDownloader:AutoIt/Agent.A
NOD32 5530 2010.10.14 Win32/TrojanDownloader.Autoit.NBD
Norman 6.06.07 2010.10.13 W32/Obfuscated.H!genr
nProtect 2010-10-14.01 2010.10.14 Trojan/W32.Agent_Packed.254741
Panda 10.0.2.7 2010.10.13 Trj/Autoit.LT
PCTools 7.0.3.5 2010.10.14 Malware.Imaut
Prevx 3.0 2010.10.14 High Risk Worm
Rising 22.69.03.01 2010.10.14 Trojan.Win32.Autoit.dzg
Sophos 4.58.0 2010.10.14 Mal/Sohana-A
Sunbelt 7055 2010.10.14 Trojan.Win32.Generic!SB.0
SUPERAntiSpyware 4.40.0.1006 2010.10.14 Trojan.Agent/Gen
Symantec 20101.2.0.161 2010.10.14 W32.Imaut.E
TheHacker 6.7.0.1.057 2010.10.14 Trojan/Dropper.gen
TrendMicro 9.120.0.1004 2010.10.14 Mal_SHND-2
TrendMicro-HouseCall 9.120.0.1004 2010.10.14 Mal_SHND-2
VBA32 3.12.14.1 2010.10.13 Trojan-Downloader.Autoit.gen
ViRobot 2010.9.25.4060 2010.10.14 Trojan.Win32.S.Downloader.254741
VirusBuster 12.68.1.0 2010.10.13 –
MD5 : f7d896d3be87b26cde7a82087ae81531
SHA1 : 39cd425f28b8b93cdb7961c5da11afa63251f4a4
File size : 254741 bytes
saludos
ms, 14-10-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.