Fichero sospechoso $Recycle$ en carpeta sospechosa C:\$recycle$\ movido a cuarentena gracias al ELIMOVER y pasado a controlar:

Un nuevo engendro, que actualmente solo es detectado por un antivirus (Norman), que se oculta en una carpeta de nombre atípico C:\$Recycle$\, y que es lanzada desde O4 – HKCU\..\Run: [$Recycle$.exe] C:\$Recycle$\$Recycle$.exe, y que enmaraña el sistema de lo lindo cuando está en memoria, lo pasamos a controlar con igual nombre que su descubridor, como SPY.ZBOT.VZA a partir de la versión de hoy del ELISTARA 22.47

Como otros muchos ZBOT tiene la característica de hacer aparecer doble acento cuando se escribe una letra acentuada.

Y al ser RootKit, se esconde cuando está activo en memoria, visualizando en lugar de la carpeta donde está, una sin nombre en la que dentro está todo el ROOT, y asi sucesivamente !

Como con todos los RootKits es importante arrancar en MODO SEGURO para detectarlo y eliminarlo.

Además:

– Baja el Nivel de seguridad del Internet Explorer
– Relentiza mucho el sistema.
– Se conecta a Internet, se supone que para enviar datos.
– El disco duro muestra mucha actividad

El actual preanalisis con VT reporta:

File name: $recycle$.exe.Muestra EliMover v1.3
Submission date: 2011-01-26 10:24:34 (UTC)
Result: 1/ 42 (2.4%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.01.18.00 2011.01.17 –
AntiVir 7.11.1.247 2011.01.26 –
Antiy-AVL 2.0.3.7 2011.01.26 –
Avast 4.8.1351.0 2011.01.25 –
Avast5 5.0.677.0 2011.01.25 –
AVG 10.0.0.1190 2011.01.26 –
BitDefender 7.2 2011.01.26 –
CAT-QuickHeal 11.00 2011.01.25 –
ClamAV 0.96.4.0 2011.01.26 –
Commtouch 5.2.11.5 2011.01.26 –
Comodo 7504 2011.01.26 –
DrWeb 5.0.2.03300 2011.01.26 –
eSafe 7.0.17.0 2011.01.24 –
eTrust-Vet 36.1.8120 2011.01.26 –
F-Prot 4.6.2.117 2011.01.25 –
F-Secure 9.0.16160.0 2011.01.26 –
Fortinet 4.2.254.0 2011.01.26 –
GData 21 2011.01.26 –
Ikarus T3.1.1.97.0 2011.01.26 –
Jiangmin 13.0.900 2011.01.26 –
K7AntiVirus 9.78.3647 2011.01.25 –
Kaspersky 7.0.0.125 2011.01.26 –
McAfee 5.400.0.1158 2011.01.26 –
McAfee-GW-Edition 2010.1C 2011.01.25 –
Microsoft 1.6502 2011.01.26 –
NOD32 5820 2011.01.26 –
Norman 6.06.12 2011.01.26 W32/Zbot.VZA  <—-   Pasado a controlar con el mismo nombre a partir de ELISTARA 22.47
nProtect 2011-01-18.01 2011.01.18 –
Panda 10.0.2.7 2011.01.25 –
PCTools 7.0.3.5 2011.01.26 –
Prevx 3.0 2011.01.26 –
Rising 23.42.02.03 2011.01.26 –
Sophos 4.61.0 2011.01.26 –
SUPERAntiSpyware 4.40.0.1006 2011.01.26 –
Symantec 20101.3.0.103 2011.01.26 –
TheHacker 6.7.0.1.120 2011.01.26 –
TrendMicro 9.120.0.1004 2011.01.26 –
TrendMicro-HouseCall 9.120.0.1004 2011.01.26 –
VBA32 3.12.14.3 2011.01.25 –
VIPRE 8200 2011.01.26 –
ViRobot 2011.1.26.4276 2011.01.26 –
VirusBuster 13.6.164.1 2011.01.25 –
Additional informationShow all
MD5   : ed7ca8caf0ddde42d9b50a8e33011037
SHA1  : 3789e92306960f4cef16459720b24a78c554d53c

File size : 196608 bytes
copyright….: Copyright (C) 2002
product……: EasyIconMaker Application
description..: EasyIconMaker MFC Application
original name: EasyIconMaker.EXE
internal name: SnD
file version.: 5, 0, 0, 6

A partir de las 19 horas de hoy, el ELISTARA 22.47 que lo controla y elimina, estará disponible en nuestra web.

saludos
ms, 26-1-2011

NOTA: Es muy importante que se ARRANQUE EN MODO SEGURO , para evitar las acciones de RootKit que tiene !!!  En Modo Normal solo puede identificarse por una carpeta sin nombre que contiene el ROOT…  ms.