Ultima hora: Nueva variante de ThinK Point (Fake AV MSEA = Microsoft Security Emergency Alert) que se carga incluso arrancando en MODO SEGURO !!!

Tal como informabamos la semana pasada, navegando por algunas webs, se infiltra un FAKE AV (Falso Antivirus) que visualiza una pantalla azul de THINK POINT y ofrece descargar el MSEA (Microsoft Security Emergency Alert) que es un falso antivirus de los que ya conocemos tropecientos, y dos de momento de esta familia especifica, que eliminamos con el ELISTARA, arrancando en modo seguro, pues sino no deja hacer nada, pero acaba de aparecer una nueva variante que se carga incluso arrancando en modo seguro…

Pues bien, ya hemos conseguido aparcarlo en C:\muestras, el procedimiento a seguir es detener el proceso HOTFIX.EXE con el ASdministrador de tareas (CTRL – ALT – SUP) y una vez hecho esto, con pantalla negra (sin la dichosa pantalla azul del bicho) volver a pulsar CTRL – ALt – SUP ) y seleccionar en Archivo -> Nueva tarea (ejecutar) y lanzar el ELISTARA.EXE , desde donde se haya guardado.

Con ello se detectará y eliminará el problema, si se trata de una variante ya controlada, y sino pedirá que se envie muestra para analizar, pero sin que el falso AV esté incordiando al arrancar.

File name: HOTFIX.EXE.Muestra EliStartPage v21.95
Submission date: 2010-11-08 17:04:57 (UTC)
Current status: finished
Result: 14 /43 (32.6%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.11.08.00 2010.11.08 –
AntiVir 7.10.13.171 2010.11.08 –
Antiy-AVL 2.0.3.7 2010.11.08 –
Authentium 5.2.0.5 2010.11.08 –
Avast 4.8.1351.0 2010.11.08 Win32:Trojan-gen
Avast5 5.0.594.0 2010.11.08 Win32:Trojan-gen
AVG 9.0.0.851 2010.11.08 –
BitDefender 7.2 2010.11.08 –
CAT-QuickHeal 11.00 2010.11.04 –
ClamAV 0.96.4.0-git 2010.11.08 –
Comodo 6654 2010.11.08 –
DrWeb 5.0.2.03300 2010.11.08 Trojan.FakeAV.1276
Emsisoft 5.0.0.50 2010.11.08 –
eSafe 7.0.17.0 2010.11.08 Win32.SecurityEssent
eTrust-Vet 36.1.7961 2010.11.08 Win32/ThinkPoint.A
F-Prot 4.6.2.117 2010.11.08 –
F-Secure 9.0.16160.0 2010.11.08 –
Fortinet 4.2.249.0 2010.11.08 –
GData 21 2010.11.08 Win32:Trojan-gen
Ikarus T3.1.1.90.0 2010.11.08 –
Jiangmin 13.0.900 2010.11.08 –
K7AntiVirus 9.67.2929 2010.11.08 –
Kaspersky 7.0.0.125 2010.11.08 –
McAfee 5.400.0.1158 2010.11.08 Artemis!5199DFB47230
McAfee-GW-Edition 2010.1C 2010.11.08 Artemis!5199DFB47230
Microsoft 1.6301 2010.11.08 Rogue:Win32/FakePAV
NOD32 5601 2010.11.08 –
Norman 6.06.10 2010.11.08 –
nProtect 2010-11-08.02 2010.11.08 –
Panda 10.0.2.7 2010.11.08 Suspicious file
PCTools 7.0.3.5 2010.11.08 RogueAntiSpyware.SecurityEssentialFraud!rem
Prevx 3.0 2010.11.08 Medium Risk Malware
Rising 22.72.06.04 2010.11.08 –
Sophos 4.59.0 2010.11.08 –
Sunbelt 7251 2010.11.08 Trojan.Win32.Generic.pak!cobra
SUPERAntiSpyware 4.40.0.1006 2010.11.08 –
Symantec 20101.2.0.161 2010.11.08 SecurityEssentialFraud
TheHacker 6.7.0.1.080 2010.11.08 –
TrendMicro 9.120.0.1004 2010.11.08 –
TrendMicro-HouseCall 9.120.0.1004 2010.11.08 –
VBA32 3.12.14.1 2010.11.08 –
ViRobot 2010.10.4.4074 2010.11.08 –
VirusBuster 12.72.3.0 2010.11.08 –
Additional informationShow all
MD5 : 5199dfb4723067c0bbcb38fc6ca9a2c9
SHA1 : fe0ce393193c8078894568858f695a041dbc8211

File size : 598528 bytes

Cabe indicar que actualmente solo 14 de 43 antivirus lo controlan, dada su reciente aparición.

Ya está en monitorizacion, y si bien ahora ya lo controlamos heurísticamente, mañana lo haremos especificamente con la version 21.97 del ELISTARA

saludos

ms, satinfo, 8-11-2010