MAS VARIANTES DEL VB.ZAX QUE CONTROLAMOS AYER
Junto con un fichero SMSS.EXE ubicado en C:\windir\services\, el cual ya controlamos con el ELISTARA de ayer 23.44, vimos otros dos sospechosos que pedimos para analizar, y que han resultado ser variantes de la misma familia VB.ZAX
A diferencia del de ayer, estos no se propagan por pendrive .
C:\WINDOWS\system32\1050\svchost.exe
C:\WINDOWS\1060\svchost.exe
El preanalisis de dichos ficheros ofrece estos dos informes:
El que reside en la subcarpeta 1050 lo detectan ya 19 de los 42 AV:
File name:
svchost.exe.Muestra EliMover v1.4
Submission date:
2011-06-17 09:12:59 (UTC)
Current status:
finished
Result:
19 /42 (45.2%)
VT Community
malware
Safety score: 0.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.06.17.00 2011.06.16 Malware/Win32.Generic
AntiVir 7.11.10.2 2011.06.17 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2011.06.17 –
Avast 4.8.1351.0 2011.06.17 Win32:Trojan-gen
Avast5 5.0.677.0 2011.06.17 Win32:Trojan-gen
AVG 10.0.0.1190 2011.06.16 Worm/Generic2.ARJD
BitDefender 7.2 2011.06.17 Trojan.Generic.KDV.241135
CAT-QuickHeal 11.00 2011.06.17 –
ClamAV 0.97.0.0 2011.06.17 –
Commtouch 5.3.2.6 2011.06.17 –
Comodo 9093 2011.06.17 –
DrWeb 5.0.2.03300 2011.06.17 –
eSafe 7.0.17.0 2011.06.15 –
eTrust-Vet 36.1.8392 2011.06.17 Win32/VBInject.K!generic
F-Prot 4.6.2.117 2011.06.16 –
F-Secure 9.0.16440.0 2011.06.17 Trojan.Generic.KDV.241135
Fortinet 4.2.257.0 2011.06.16 W32/Refroso.AGEA!tr
GData 22 2011.06.17 Trojan.Generic.KDV.241135
Ikarus T3.1.1.104.0 2011.06.17 Worm.Win32.Ainslot
Jiangmin 13.0.900 2011.06.16 –
K7AntiVirus 9.106.4819 2011.06.16 –
Kaspersky 9.0.0.837 2011.06.17 HEUR:Trojan.Win32.Generic
McAfee 5.400.0.1158 2011.06.17 –
McAfee-GW-Edition 2010.1D 2011.06.17 –
Microsoft 1.6903 2011.06.13 Worm:Win32/Rebhip.A
NOD32 6216 2011.06.17 a variant of Win32/Injector.GTW
Norman 6.07.10 2011.06.17 –
nProtect 2011-06-17.01 2011.06.17 Trojan.Generic.KDV.241135
Panda 10.0.3.5 2011.06.16 Suspicious file
PCTools 7.0.3.5 2011.06.17 –
Prevx 3.0 2011.06.17 –
Rising 23.62.02.05 2011.06.15 –
Sophos 4.66.0 2011.06.17 Mal/VB-VX
SUPERAntiSpyware 4.40.0.1006 2011.06.17 –
Symantec 20111.1.0.186 2011.06.17 –
TheHacker 6.7.0.1.230 2011.06.14 –
TrendMicro 9.200.0.1012 2011.06.17 –
TrendMicro-HouseCall 9.200.0.1012 2011.06.17 –
VBA32 3.12.16.2 2011.06.17 –
VIPRE 9605 2011.06.17 Trojan.Win32.Generic.pak!cobra
ViRobot 2011.6.17.4518 2011.06.17 –
VirusBuster 14.0.83.0 2011.06.16 Trojan.DR.Agent!8mrDfoBlzWY
Additional information
MD5 : c984eb3162f0d0fed5165ba1ec877446
SHA1 : b576043401f3e96920e56353fe19ac681c91498b
File size : 318068 bytes
publisher….: Alexander Roshal
copyright….: Copyright (c) Alexander Roshal 1993-2010
product……: WinRAR
description..: WinRAR archiver
original name: WinRAR.exe
internal name: WinRAR
file version.: 3.93.0
______
y el que reside en la subcarpeta 1060, casi no es detectado por ningun antivirus:
svchost.exe.Muestra EliMover v1.4
Submission date:
2011-06-17 09:16:41 (UTC)
Current status:
finished
Result:
2 /42 (4.8%)
VT Community
malware
Safety score: 0.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.06.17.00 2011.06.16 –
AntiVir 7.11.10.2 2011.06.17 –
Antiy-AVL 2.0.3.7 2011.06.17 –
Avast 4.8.1351.0 2011.06.17 –
Avast5 5.0.677.0 2011.06.17 –
AVG 10.0.0.1190 2011.06.16 BackDoor.Generic13.CBJC
BitDefender 7.2 2011.06.17 –
CAT-QuickHeal 11.00 2011.06.17 –
ClamAV 0.97.0.0 2011.06.17 –
Commtouch 5.3.2.6 2011.06.17 –
Comodo 9093 2011.06.17 –
DrWeb 5.0.2.03300 2011.06.17 –
Emsisoft 5.1.0.8 2011.06.17 –
eSafe 7.0.17.0 2011.06.15 –
eTrust-Vet 36.1.8392 2011.06.17 –
F-Prot 4.6.2.117 2011.06.16 –
Fortinet 4.2.257.0 2011.06.16 –
GData 22 2011.06.17 –
Ikarus T3.1.1.104.0 2011.06.17 –
Jiangmin 13.0.900 2011.06.16 –
K7AntiVirus 9.106.4819 2011.06.16 –
Kaspersky 9.0.0.837 2011.06.17 –
McAfee 5.400.0.1158 2011.06.17 –
McAfee-GW-Edition 2010.1D 2011.06.17 –
Microsoft 1.6903 2011.06.13 –
NOD32 6216 2011.06.17 –
Norman 6.07.10 2011.06.17 –
nProtect 2011-06-17.01 2011.06.17 –
Panda 10.0.3.5 2011.06.16 Suspicious file
PCTools 7.0.3.5 2011.06.17 –
Prevx 3.0 2011.06.17 –
Rising 23.62.02.05 2011.06.15 –
Sophos 4.66.0 2011.06.17 –
SUPERAntiSpyware 4.40.0.1006 2011.06.17 –
Symantec 20111.1.0.186 2011.06.17 –
TheHacker 6.7.0.1.230 2011.06.14 –
TrendMicro 9.200.0.1012 2011.06.17 –
TrendMicro-HouseCall 9.200.0.1012 2011.06.17 –
VBA32 3.12.16.2 2011.06.17 –
VIPRE 9605 2011.06.17 –
ViRobot 2011.6.17.4518 2011.06.17 –
VirusBuster 14.0.83.0 2011.06.16 –
Additional information
MD5 : f00f0be83d41b1ba397e677901202ce2
SHA1 : b56c691b89c093f2137c4d2e04c2b1c50f09af6f
File size : 338956 bytes
publisher….: BY GP
copyright….: n/a
product……: avavs
description..: n/a
original name: 1.exe
internal name: 1
file version.: 43.34.0003
comments…..: n/a
Ambos pasan a ser detectados y eliminados a partir de la version de hoy del ELISTARA 23.45, que estará disponible en nuestra web a partir de las 15 horas CEST de hoy
saludos
ms, 17-6-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.