Nueva variante de virus de pendrive que solo detectan actualmente 2 ó 3 antivirus: McAfee, GDATA, y AVAST

Publicado el 23 septiembre 2010 ¬ 21:37 pmh.mscComentarios desactivados en Nueva variante de virus de pendrive que solo detectan actualmente 2 ó 3 antivirus: McAfee, GDATA, y AVAST

Habiendonos llegado una muestra para analizar, de una nueva variante de virus que se propaga por pendrive, lanzado por un AUTORUN.INF, desde la linea shellexecute=windows.cmd y como que apenas lo detectan 2 ó 3 antivirus, ofrecemos informacion al respecto, aparte de complacernos el poder informar que con el actual ELISTARA 21.68 ya se controla y elimina:

File name:
autorun.inf
Submission date:
2010-09-23 15:46:21 (UTC)
Current status:
finished
Result:
2 /43 (4.7%)
 
VT Community

malware
McAfee  5.400.0.1158  2010.09.23  Generic!atr.b
TheHacker  6.7.0.0.029  2010.09.23  Trojan/Small.autorun
MD5   : 49d2ffed303904ba69efdff97572aeaf
SHA1  : 1aa72371375c4f3c7121ec57ce00fff6cee30b2a

File size : 52 bytes
y del fichero que ejecuta, el WINDOWS.CMD, practicamente igual poco detectado:
File name:
windows.cmd
Submission date:
2010-09-23 09:38:17 (UTC)
Current status:
finished
Result:
4 /43 (9.3%)
 
VT Community

Avast  4.8.1351.0  2010.09.22  BV:AutoRun-AX
Avast5  5.0.594.0  2010.09.22  BV:AutoRun-AX
GData   21    2010.09.23   BV:AutoRun-AX

McAfee  5.400.0.1158  2010.09.23  Generic!atr.b

MD5   : 0056a82f9946479ed27466e7a80dac1e
SHA1  : a851bef6c3b3633944fab06ea2cb0e1142e6bdcc
File size : 3855 bytes

Como dato de interés cabe decir que el WINDOWS.CMD muestra una elaboración muy simple, pudiendo ver su código de pocas líneas con un simple editor de texto, y asi observar su técnica de lanzarse diariamente a una hora gracias al task scheluder del propio sistema operativo, ver como copia los ficheros AUTORUN.INF Y WINDOWS.CMD a todas las unidades con un COPY, tambien como protege sus ficheros ocultandolos con el ATTRIB, o como cambia en el ordenador el nombre del equipo y del usuario,  por Garuda Didadaku de Indonesia y ARDI ARIANSYAH:

reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion” /v RegisteredOwner /t REG_SZ /d ARDI ARIANSYAH /f
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion” /v RegisteredOrganization /t REG_SZ /d Indonesia (Garuda Didadaku) /f

Es lo unico que no modificamos, para que el usuario vuelva a poner los suyos, que nosotros desconocemos, claro.

Y lo mejor, que con el ELISTARA 21.68 YA SE CONTROLA Y ELIMINA Y siempre aconsejable proteger con el ELIPEN ordenadores y pendrives !!!

saludos

ms, 23-9-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies