FAKE AV “SECURITY DEFENDER” que se instala en un fichero .AVI ejecutado por RUNDLL32.EXE y detectado actualmente por pocos AV (18 de 43)
Un nuevo método de ocultar malwares lo hemos visto en la muestra recibida con extension .AVI, llamada desde varias claves de registro:
[HKLM\…\Run] “variable”=””C:\WINDOWS\system32\rundll32.exe” “C:\Documents and Settings\All Users\Datos de programa\<nombre variable igual al valor de la clave>.avi”, start ”
y desde un link en la carpeta inicio :
O4 – Global Startup: <fichero de nombre variable igual al valor de la clave>.lnk
El preanálisis de dicho fichero .AVI indica:
File name: ab6deb7d-057a-47a7-a74d-5ea6c2ac05f4_33.avi
Submission date: 2011-02-10 10:13:50 (UTC)
Current status: finished
Result: 18 /43 (41.9%)
VT Community
not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.02.06.00 2011.02.06 Packed/Win32.Katusha
AntiVir 7.11.3.32 2011.02.09 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2011.02.10 Packed/Win32.Katusha
Avast 4.8.1351.0 2011.02.09 –
Avast5 5.0.677.0 2011.02.09 –
AVG 10.0.0.1190 2011.02.09 Generic21.BYV
BitDefender 7.2 2011.02.10 Trojan.Generic.KDV.128272
CAT-QuickHeal 11.00 2011.02.10 –
ClamAV 0.96.4.0 2011.02.10 –
Commtouch 5.2.11.5 2011.02.10 –
Comodo 7638 2011.02.10 –
DrWeb 5.0.2.03300 2011.02.10 –
Emsisoft 5.1.0.2 2011.02.10 Packed.Win32.Katusha!IK
eSafe 7.0.17.0 2011.02.09 –
eTrust-Vet 36.1.8151 2011.02.10 Win32/FakeAV.RBL
F-Prot 4.6.2.117 2011.02.04 –
F-Secure 9.0.16160.0 2011.02.10 Trojan.Generic.KDV.128272
Fortinet 4.2.254.0 2011.02.09 –
GData 21 2011.02.10 Trojan.Generic.KDV.128272
Ikarus T3.1.1.97.0 2011.02.10 Packed.Win32.Katusha
Jiangmin 13.0.900 2011.02.10 –
K7AntiVirus 9.82.3806 2011.02.10 –
Kaspersky 7.0.0.125 2011.02.10 Packed.Win32.Katusha.o
McAfee 5.400.0.1158 2011.02.10 Artemis!FD8E1CC6D0F3
McAfee-GW-Edition 2010.1C 2011.02.08 Artemis!FD8E1CC6D0F3
Microsoft 1.6502 2011.02.10 –
NOD32 5860 2011.02.09 a variant of Win32/Kryptik.GFJ
Norman 6.07.03 2011.02.09 –
nProtect 2011-01-27.01 2011.02.02 –
Panda 10.0.3.5 2011.02.09 Trj/Krap.AZ
PCTools 7.0.3.5 2011.02.09 –
Prevx 3.0 2011.02.10 –
Rising 23.44.02.05 2011.02.09 –
Sophos 4.61.0 2011.02.10 –
SUPERAntiSpyware 4.40.0.1006 2011.02.10 –
Symantec 20101.3.0.103 2011.02.10 –
TheHacker 6.7.0.1.126 2011.02.08 –
TrendMicro 9.200.0.1012 2011.02.10 Mal_FakeAV-25
TrendMicro-HouseCall 9.200.0.1012 2011.02.10 Mal_FakeAV-25
VBA32 3.12.14.3 2011.02.09 –
VIPRE 8368 2011.02.10 Trojan.Win32.Generic!BT
ViRobot 2011.2.10.4302 2011.02.10 –
VirusBuster 13.6.191.0 2011.02.09 –
Additional informationShow all
MD5 : fd8e1cc6d0f33895a09ba05a9eef14e4
SHA1 : d941eb1846b6775c82c8ebe48ee07bf990eeadf9
File size : 1684480 bytes
Por lo que vemos que aun no lo controlan Av conocidos como:
Avast , eSafe , F-Prot , Fortinet , Microsoft, ni Norman lo detectan actualmente
La utilidad ELISTARA 22.58 que lo controla y elimina, estará disponible en nuestra web a partir de las 19 h de hoy
saludos
ms, 10-2-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.