Nuevas variantes no controladas del BREDAVI, causadas por el falso mail de DHL, cazadas por el ELISTARA

Como ya indicamos la semana pasada, el ELISTARA detecta ahora la presencia de ficheros lanzados en el Shell del Explorer, y avisa para que se pueda obrar en consecuencia.

Como que estamos recibiendo cada día nuevas muestras del virus que llega anexado a mails falsos de DHL, y que dentro del ZIP hay un EXE que al ejecutarlo crea el malware con fichero de nombre y extension aleatoria, es ideal este AVISO en el infosat.txt:

Detectado “Shell” Sospechoso: “EXPLORER.EXE RUNDLL32.EXE THXI.IXO IWRIV”

El fichero malware es en este caso el THXI.IXO , que estará en C:\windows\system32
Si no se encuentra a simple vista, puede usarse el ELIMOVER, indicando ruta y nombre, y en este caso sería:

C:\windows\system32\THXI.IXO 

 con lo que el ELIMOVER lo copiaría a C:\muestras ya sin atributos, facilitando su envio para que lo analizaramos y pasaramos a controlar en las siguientes versiones del ELISTARA
y dado este caso, para que no siga ejecutando dicha clave a partir del proximo reinicio, procederá ejecutar el ELISHELL

Lo que es importante es que nos envien muestra del fichero indicado, para asi pasarlo a controlar. En esta familia acopstumbre a ser de 4 letras variable con otras tres como extension atipica, en este caso THXI.IXO
Es una gran ventaja que el ELISTARA nos avise, si bien pueden haber lanzamientos lícitos desde el Shell del Explorer, por lo cual a priori no los eliminamos, solo avisamos para que se pueda obrar segun proceda, o se nos pueda consultar  al respecto.

saludos

ms, satinfo, 8-11-2010