Ultima hora: Nueva variante de ThinK Point (Fake AV MSEA = Microsoft Security Emergency Alert) que se carga incluso arrancando en MODO SEGURO !!!
Tal como informabamos la semana pasada, navegando por algunas webs, se infiltra un FAKE AV (Falso Antivirus) que visualiza una pantalla azul de THINK POINT y ofrece descargar el MSEA (Microsoft Security Emergency Alert) que es un falso antivirus de los que ya conocemos tropecientos, y dos de momento de esta familia especifica, que eliminamos con el ELISTARA, arrancando en modo seguro, pues sino no deja hacer nada, pero acaba de aparecer una nueva variante que se carga incluso arrancando en modo seguro…
Pues bien, ya hemos conseguido aparcarlo en C:\muestras, el procedimiento a seguir es detener el proceso HOTFIX.EXE con el ASdministrador de tareas (CTRL – ALT – SUP) y una vez hecho esto, con pantalla negra (sin la dichosa pantalla azul del bicho) volver a pulsar CTRL – ALt – SUP ) y seleccionar en Archivo -> Nueva tarea (ejecutar) y lanzar el ELISTARA.EXE , desde donde se haya guardado.
Con ello se detectará y eliminará el problema, si se trata de una variante ya controlada, y sino pedirá que se envie muestra para analizar, pero sin que el falso AV esté incordiando al arrancar.
File name: HOTFIX.EXE.Muestra EliStartPage v21.95
Submission date: 2010-11-08 17:04:57 (UTC)
Current status: finished
Result: 14 /43 (32.6%)
VT Community
malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.11.08.00 2010.11.08 –
AntiVir 7.10.13.171 2010.11.08 –
Antiy-AVL 2.0.3.7 2010.11.08 –
Authentium 5.2.0.5 2010.11.08 –
Avast 4.8.1351.0 2010.11.08 Win32:Trojan-gen
Avast5 5.0.594.0 2010.11.08 Win32:Trojan-gen
AVG 9.0.0.851 2010.11.08 –
BitDefender 7.2 2010.11.08 –
CAT-QuickHeal 11.00 2010.11.04 –
ClamAV 0.96.4.0-git 2010.11.08 –
Comodo 6654 2010.11.08 –
DrWeb 5.0.2.03300 2010.11.08 Trojan.FakeAV.1276
Emsisoft 5.0.0.50 2010.11.08 –
eSafe 7.0.17.0 2010.11.08 Win32.SecurityEssent
eTrust-Vet 36.1.7961 2010.11.08 Win32/ThinkPoint.A
F-Prot 4.6.2.117 2010.11.08 –
F-Secure 9.0.16160.0 2010.11.08 –
Fortinet 4.2.249.0 2010.11.08 –
GData 21 2010.11.08 Win32:Trojan-gen
Ikarus T3.1.1.90.0 2010.11.08 –
Jiangmin 13.0.900 2010.11.08 –
K7AntiVirus 9.67.2929 2010.11.08 –
Kaspersky 7.0.0.125 2010.11.08 –
McAfee 5.400.0.1158 2010.11.08 Artemis!5199DFB47230
McAfee-GW-Edition 2010.1C 2010.11.08 Artemis!5199DFB47230
Microsoft 1.6301 2010.11.08 Rogue:Win32/FakePAV
NOD32 5601 2010.11.08 –
Norman 6.06.10 2010.11.08 –
nProtect 2010-11-08.02 2010.11.08 –
Panda 10.0.2.7 2010.11.08 Suspicious file
PCTools 7.0.3.5 2010.11.08 RogueAntiSpyware.SecurityEssentialFraud!rem
Prevx 3.0 2010.11.08 Medium Risk Malware
Rising 22.72.06.04 2010.11.08 –
Sophos 4.59.0 2010.11.08 –
Sunbelt 7251 2010.11.08 Trojan.Win32.Generic.pak!cobra
SUPERAntiSpyware 4.40.0.1006 2010.11.08 –
Symantec 20101.2.0.161 2010.11.08 SecurityEssentialFraud
TheHacker 6.7.0.1.080 2010.11.08 –
TrendMicro 9.120.0.1004 2010.11.08 –
TrendMicro-HouseCall 9.120.0.1004 2010.11.08 –
VBA32 3.12.14.1 2010.11.08 –
ViRobot 2010.10.4.4074 2010.11.08 –
VirusBuster 12.72.3.0 2010.11.08 –
Additional informationShow all
MD5 : 5199dfb4723067c0bbcb38fc6ca9a2c9
SHA1 : fe0ce393193c8078894568858f695a041dbc8211
File size : 598528 bytes
Cabe indicar que actualmente solo 14 de 43 antivirus lo controlan, dada su reciente aparición.
Ya está en monitorizacion, y si bien ahora ya lo controlamos heurísticamente, mañana lo haremos especificamente con la version 21.97 del ELISTARA
saludos
ms, satinfo, 8-11-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.