Inutilizacion de ficheros malwares por algunos AV
Algunos antivirus dejan como basura los ficheros malwares, inutilizandolos, si los detectan, cambiando a minúsculas los caracteristicos bytes 4D5A y 5045 (MZ y PE) del primer sector, con lo que quedan como basura inoperativa en el disco duro…
Al llegarnos para analizar ficheros de dicho tipo, pedidos por el ELISTARA al encontrarlos por su lanzamiento en el registro (que tampoco restauran), aunque ya no funcionan, es una manera “sucia” de solucionar el problema, ya que puede seguir detectandose por otros AV que encuentren parte del código o del registro usado, pero contra gustos …, lo explicamos con los analisis correspondientes de dichos ficheros.
Un ejemplo de ello nos llega hoy en este fichero “tocado” que ha sido pedido por el ELISTARA:
EXPLORER.EXE.VIR (UserInit)
cuyo preanalisis del virustotal indica:
File name:
EXPLORER.EXE.VIR (UserInit)-tocat per AV
Submission date:
2011-09-07 14:50:02 (UTC)
Current status:
finished
Result:
10 /44 (22.7%)
VT Community
malware
Safety score: 0.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.09.07.01 2011.09.07 –
AntiVir 7.11.14.132 2011.09.07 W32/VB.BU
Antiy-AVL 2.0.3.7 2011.09.07 –
Avast 4.8.1351.0 2011.09.07 Win32:Detnat-AX [Wrm]
Avast5 5.0.677.0 2011.09.07 Win32:Detnat-AX [Wrm]
AVG 10.0.0.1190 2011.09.07 –
BitDefender 7.2 2011.09.07 –
ByteHero 1.0.0.1 2011.08.22 –
CAT-QuickHeal 11.00 2011.09.07 –
ClamAV 0.97.0.0 2011.09.07 –
Commtouch 5.3.2.6 2011.09.07 –
Comodo 10023 2011.09.07 –
DrWeb 5.0.2.03300 2011.09.07 –
Emsisoft 5.1.0.11 2011.09.07 –
eSafe 7.0.17.0 2011.09.06 –
eTrust-Vet 36.1.8543 2011.09.06 Win32/SillyAutorun.BKV
F-Prot 4.6.2.117 2011.09.07 –
F-Secure 9.0.16440.0 2011.09.07 –
Fortinet 4.3.370.0 2011.09.07 –
GData 22 2011.09.07 Win32:Detnat-AX
Ikarus T3.1.1.107.0 2011.09.07 –
Jiangmin 13.0.900 2011.09.07 –
K7AntiVirus 9.112.5100 2011.09.07 –
Kaspersky 9.0.0.837 2011.09.07 –
McAfee 5.400.0.1158 2011.09.07 –
McAfee-GW-Edition 2010.1D 2011.09.06 Heuristic.BehavesLike.Exploit.CodeExec.FFOD
Microsoft 1.7604 2011.09.07 –
NOD32 6444 2011.09.07 –
Norman 6.07.11 2011.09.07 –
nProtect 2011-09-07.01 2011.09.07 –
Panda 10.0.3.5 2011.09.07 –
PCTools 8.0.0.5 2011.09.07 HeurEngine.MalPE
Prevx 3.0 2011.09.07 –
Rising 23.74.02.03 2011.09.07 –
Sophos 4.69.0 2011.09.07 Troj/Gampass-A
SUPERAntiSpyware 4.40.0.1006 2011.09.07 Trojan.Agent/Gen–o[Short]
Symantec 20111.2.0.82 2011.09.07 Bloodhound.MalPE
TheHacker 6.7.0.1.291 2011.09.07 –
TrendMicro 9.500.0.1008 2011.09.06 –
TrendMicro-HouseCall 9.500.0.1008 2011.09.07 –
VBA32 3.12.16.4 2011.09.07 –
VIPRE 10398 2011.09.07 –
ViRobot 2011.9.7.4661 2011.09.07 –
VirusBuster 14.0.203.0 2011.09.07 –
Additional information
MD5 : 1a7a3d453e84d1f12f9897b73c38d370
SHA1 : 2305391e9ec0f16ae2c6b7f9e1fed5bd6b72e75e
File size : 36864 bytes
Siguiendo detectado por 10 AV, mientras que restaurado a sus valores normales de infección, resulta:
File name:
EXPLORER.EXE.VIR (UserInit)
Submission date:
2011-09-07 14:37:09 (UTC)
Current status:
finished
Result:
41 /44 (93.2%)
VT Community
malware
Safety score: 0.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.09.07.01 2011.09.07 Win-Trojan/KorGameHack.36864.B
AntiVir 7.11.14.132 2011.09.07 W32/VB.BU
Antiy-AVL 2.0.3.7 2011.09.07 Virus/Win32.VB.gen
Avast 4.8.1351.0 2011.09.07 Win32:Detnat-AX [Wrm]
Avast5 5.0.677.0 2011.09.07 Win32:Detnat-AX [Wrm]
AVG 10.0.0.1190 2011.09.07 Worm/VB.FEF
BitDefender 7.2 2011.09.07 Trojan.Agent.VB.H
ByteHero 1.0.0.1 2011.08.22 –
CAT-QuickHeal 11.00 2011.09.07 Worm.VB.bu
ClamAV 0.97.0.0 2011.09.07 Trojan.VB-420
Commtouch 5.3.2.6 2011.09.07 W32/Legendmir.CTS
Comodo 10023 2011.09.07 Worm.Win32.VB.NHZ
DrWeb 5.0.2.03300 2011.09.07 BackDoor.Generic.1451
Emsisoft 5.1.0.11 2011.09.07 Virus.Win32.VB.bu!IK
eSafe 7.0.17.0 2011.09.06 Virus.Win32.VB.bu
eTrust-Vet 36.1.8543 2011.09.06 Win32/SillyAutorun.BKV
F-Prot 4.6.2.117 2011.09.07 W32/Legendmir.CTS
F-Secure 9.0.16440.0 2011.09.07 Trojan.Agent.VB.H
Fortinet 4.3.370.0 2011.09.07 W32/VB.BU!tr
GData 22 2011.09.07 Trojan.Agent.VB.H
Ikarus T3.1.1.107.0 2011.09.07 Virus.Win32.VB.bu
Jiangmin 13.0.900 2011.09.07 Trojan/PSW.Jianghu.ei
K7AntiVirus 9.112.5100 2011.09.07 EmailWorm
Kaspersky 9.0.0.837 2011.09.07 Virus.Win32.VB.bu
McAfee 5.400.0.1158 2011.09.07 Generic PWS.g
McAfee-GW-Edition 2010.1D 2011.09.06 Generic PWS.g
Microsoft 1.7604 2011.09.07 Worm:Win32/Autorun.NN
NOD32 6443 2011.09.07 Win32/VB.NHZ
Norman 6.07.11 2011.09.07 W32/VBWorm.NNM
nProtect 2011-09-07.01 2011.09.07 Trojan/W32.Agent.36864.R
Panda 10.0.3.5 2011.09.07 Trj/Gamania.HL
PCTools 8.0.0.5 2011.09.07 Trojan-PSW.Lineage!rem
Prevx 3.0 2011.09.07 Medium Risk Malware
Rising 23.74.02.03 2011.09.07 Trojan.PSW.SBoy.a
Sophos 4.69.0 2011.09.07 Troj/Gampass-A
SUPERAntiSpyware 4.40.0.1006 2011.09.07 –
Symantec 20111.2.0.82 2011.09.07 Infostealer.Lineage
TheHacker 6.7.0.1.291 2011.09.07 –
TrendMicro 9.500.0.1008 2011.09.06 WORM_VB.DVP
TrendMicro-HouseCall 9.500.0.1008 2011.09.07 WORM_VB.DVP
VBA32 3.12.16.4 2011.09.07 Virus.Win32.VB.bu
VIPRE 10398 2011.09.07 Worm.Win32.VB.afas (v)
ViRobot 2011.9.7.4661 2011.09.07 Trojan.Win32.PSWKGame.36864
VirusBuster 14.0.203.0 2011.09.07 Worm.AutoRun.J
Additional information
MD5 : 71c7d5f12cc635049eb908b16ca0d846
SHA1 : 1d65f22259b31325bd6bbb23df06b16f1b110c7f
File size : 36864 bytes
Detectandolo tambien incluso el ELISTARA actual como GENERIC PWS-g
Lo cual aclaramos por las dudas que pudieran surgir al respecto con dicha manera de obrar de algunos AV…
saludos
ms, 7-9-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.