Nuevo troyano NELLY que deja su firma en todas partes … !

Una nueva variante de troyano que se copia con varios nombres, utilizando para funcionar el de SVCHOST.EXE para que se confunda en las tareas activas como el lanzador de tareas del sistema, lo pasamos a detectar y controlar a partir de la nueva version del hoy del ELISTARA.EXE 20.75

Actualmente solo lo controlan un 50 % de los antivirus del VirusTotal, y algunos tan significativos como Kaspersky, NOD32, Sophos o Symantec aun no lo detectan:

Kaspersky 7.0.0.125 2010.04.15 –
McAfee 5.400.0.1158 2010.04.15 Generic.dx!qfj
McAfee-GW-Edition 6.8.5 2010.04.15 Heuristic.LooksLike.Trojan.PSW.Zapchast.H
Microsoft 1.5605 2010.04.15 –
NOD32 5030 2010.04.15 –

Sophos 4.52.0 2010.04.15 –
Sunbelt 6179 2010.04.15 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.04.15 –

File Svchost.exe.vir received on 2010.04.15 11:39:52 (UTC)
Result: 20/40 (50%)

File size: 150830 bytes
MD5…: 1fb1c0e38e92e2536fb82cc9e73c5038
SHA1..: 8117c39eb8a4b26f5953bd62542541340fa9c377
Ya ahora mismo con nuestro ELIMD5.EXE se puede detectar y eliminar con cualquiera de los dos hashes indicados al final del anterior informe. por ejemplo 1fb1c0e38e92e2536fb82cc9e73c5038 , y a partir de la version que estamos haciendo del ELISTARA 20.75 QUE SUBIREMOS HOY MISMO A NUESTRA WEB, se controlará exhaustivamente dicha nueva variante.

Principales caracteristicas :

– Queda residente.
– Deshabilita el Administrador de Tareas, las Opciones de Carpeta y la Restauración del Sistema.
– Como icono tiene el de una Carpeta.
– Como Label de las unidades pone “:. Nelly .:”
– Cambia el formato de la hora “HH:mm   :[ Nelly ]:”

y crea los siguientes ficheros

%WinDir%\ Fonts\ SVCHOST.EXE
%WinDir%\ Tasks\ At1.job
%WinDir%\ Temp\ BT6052.BAT

El EXE es una compilacion del BAT, donde se ve todas sus acciones.

saludos

ms, 15-4-2010