Detalles del VBNA que hemos recibido y pasado a controlar con el ELIVBNA 2.18 (MUY IMPORTANTE)

Tal y como informamos en https://blog.satinfo.es/?p=19265 , con el ELIVBNA pasamos a controlar una nueva variante de esta familia, poco usual, pero que por sus caracteristicas hemos considerado que vale la pena comentar…

Este malware se propaga por el AUTORUN.INF de los pendrives, lo cual se controla con el ELIPEN, pero  si bien con ello ya no se propaga aun metiendo un pendrive infectado, lo que hace además es crear en el pendrive ficheros con icono de carpeta, con nombres tan seductores como  PORNO  y  SEXY que si se pulsan, pensando acceder a la supuesta carpeta, lo que se hace es ejecutar el malware !!!

Aparte de crear estas carpetas (y otras iguales con otros nombres) coge las carpetas existentes en los pendrives (y lo mismo hace con los disquetes en las máquinas que aun equipan disqueteras) y las oculta, creando en su lugar ficheros malware con el mismo nombre de la carpetas ocultadas, y con icono de carpeta, de forma que como que además cambia la configuracion de windows pàra que no se vean ficheros ocultos, si el usuario no tiene configurado windows para ver extensiones de ficheros, no aprecia la diferencia entre dicho fichero con icono de carpeta y la carpeta que habia antes, y lo ejecuta al querer entrar en dicha “carpeta”

Pero además inserta un DOWNLOADER en el disco duro que se dedica a descargar otros malwares, como HILOTI, KATUSHA, y especialmente otros ALUREON infectores del MBR con tecnicas Stealth, por lo que a partir de dicha infeccion con el VBNA, se tendrá una serie de troyanos ingresados desde dicha infección, algunos “invisibles” y otros desconocidos que aun despues de eliminar dicho VBNA, incordiarán en mayor o menor grado hasta que sean eliminados.

Con el ELIVBNA.EXE vamos controlando las variantes que van apareciendo, pero se ha de tener en cuenta que es polimorfico, y que la ejecucion del mismo fichero que ha infectado un pendrive, descarga otra variante del mismo cuando infecta otro ordenador, y que puede no ser conocido por la misma utilidad o antivirus que puco eliminar su predecesor.

Y a lo que vamos, si se ha detectado un VBNA en el disco duro, seguro que se tendrán otros malwares descargados por ello, y posiblemente hasta el MBR infectado con tecnicas Stealth, para lo que es MUY IMPORTANTE que despues de detectar dicha infeccion con ELIVBNA, se lance el ultimo ELISTARA disponible, y ver si se detecta anomalias en el MBR, en otros ficheros, o incluso la pérdida del HOSTS, causado tambien por dicha infección.

Mañana trataremos de mejorar la heuristica del ELIVBNA, pidiendo muestras de sospechosos aun no conocidos de esta familia, lo cual implementaremos en la version 2.19 de dicha utilidad y posteriores.

saludos

ms, 5-9-2011