Nueva historia de FAKE’s AV XP SECURITY de nombre y presentacion cambiante

Una nueva version de FAKE, que va cambiando tanto el nombre como la presentacion de producto (“DETECCION por FIREWALL , XP TOTAL SECURITY, XP HOME SECURITY, etc) y que su carga no es visible en los logs de las utilidades hasta ahora usadas (HJT, SPROCES, etc) nos ha llegado gracias a la colaboracion de un cliente que ha visto cual era el fichero malware usado.

Su sistema es modificar el control de EXE files y lanzarse cada vez que se ejecuta un EXE, asi como interrumpir la carga del mismo si se elimina dicho fichero, como tambien se carga por abrir el navegador I.E., todo lo cual restaura el ELISTARA actual.

Pero además a partir de la version de hoy 22.65 controlamos y eliminamos dicho malware especificamente
File name: tav.exe
Submission date: 2011-02-21 14:27:11 (UTC)
Current status: finished
Result: 13 /43 (30.2%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.02.14.02 2011.02.14 –
AntiVir 7.11.3.169 2011.02.21 TR/Kazy.13027.1
Antiy-AVL 2.0.3.7 2011.02.19 –
Avast 4.8.1351.0 2011.02.21 –
Avast5 5.0.677.0 2011.02.21 –
AVG 10.0.0.1190 2011.02.21 –
BitDefender 7.2 2011.02.21 Gen:Variant.Kazy.13027
CAT-QuickHeal 11.00 2011.02.21 (Suspicious) – DNAScan
ClamAV 0.96.4.0 2011.02.21 –
Commtouch 5.2.11.5 2011.02.21 –
Comodo 7761 2011.02.21 –
DrWeb 5.0.2.03300 2011.02.21 –
Emsisoft 5.1.0.2 2011.02.21 Gen.Variant.Kazy!IK
eSafe 7.0.17.0 2011.02.21 Win32.GenVariant.Kaz
eTrust-Vet 36.1.8173 2011.02.21 –
F-Prot 4.6.2.117 2011.02.21 –
F-Secure 9.0.16160.0 2011.02.21 Gen:Variant.Kazy.13027
Fortinet 4.2.254.0 2011.02.21 –
GData 21 2011.02.21 Gen:Variant.Kazy.13027
Ikarus T3.1.1.97.0 2011.02.21 Gen.Variant.Kazy
Jiangmin 13.0.900 2011.02.21 –
K7AntiVirus 9.87.3913 2011.02.21 –
Kaspersky 7.0.0.125 2011.02.21 –
McAfee 5.400.0.1158 2011.02.21 –
McAfee-GW-Edition 2010.1C 2011.02.21 –
Microsoft 1.6502 2011.02.21 Rogue:Win32/FakeRean
NOD32 5892 2011.02.21 a variant of Win32/Adware.XPAntiSpyware.AB
Norman 6.07.03 2011.02.20 –
nProtect 2011-02-10.01 2011.02.15 –
Panda 10.0.3.5 2011.02.20 Trj/CI.A
PCTools 7.0.3.5 2011.02.21 –
Prevx 3.0 2011.02.21 Medium Risk Malware
Rising 23.46.00.06 2011.02.21 –
Sophos 4.61.0 2011.02.21 Sus/UnkPack-C
SUPERAntiSpyware 4.40.0.1006 2011.02.21 –
Symantec 20101.3.0.103 2011.02.21 –
TheHacker 6.7.0.1.134 2011.02.21 –
TrendMicro 9.200.0.1012 2011.02.21 –
TrendMicro-HouseCall 9.200.0.1012 2011.02.21 –
VBA32 3.12.14.3 2011.02.21 –
VIPRE 8492 2011.02.21 –
ViRobot 2011.2.21.4321 2011.02.21 –
VirusBuster 13.6.211.0 2011.02.21 –
Additional informationShow all
MD5   : 5b3ac9f8c6d0bba3e39a516ccc324173
SHA1  : 21a96370975db72eacf45065c995b4161906a443

File size : 339968 bytes

publisher….: Valve Corporation
copyright….: (c) Copyright 2000-2003 Valve Corporation All rights reserved.
product……: Steam
description..: Steam
original name: Steam.exe
internal name: n/a
file version.: 1.0.968.628

Como se ve solo 13 de los 43 AV actuales del VT lo controlan, y alguno de los que lo hace puede eliminar el troyano sin restaurar la clave, con lo cual, a continuaciuón. el ordenador no podrá ejecutar ningun EXE, y en tal caso puede renombrarse el ELISTARA.EXE a ELISTARA.SCR , de forma que se pueda ejecutar y restaurar las claves modificadas para que tras ello puedan ejecutarse los EXE y el IE.

Es una nueva modalidad que no se había visto utilizar en los FAKE, y que gracias a que el ELISTARA ya contemplaba dicha restauracion para otros troyanos, nos ha servido para este caso, aun sin saber que se presentaría, pero bien que ha ido !

Dicha version del ELISTARA 22.65 estará disponible en nuestra web a partir de las 19 h CET de hoy.

saludos

ms, 21-2-2011